JP2023168681A - On-vehicle device, control method and computer program - Google Patents

On-vehicle device, control method and computer program Download PDF

Info

Publication number
JP2023168681A
JP2023168681A JP2022079934A JP2022079934A JP2023168681A JP 2023168681 A JP2023168681 A JP 2023168681A JP 2022079934 A JP2022079934 A JP 2022079934A JP 2022079934 A JP2022079934 A JP 2022079934A JP 2023168681 A JP2023168681 A JP 2023168681A
Authority
JP
Japan
Prior art keywords
value
frequency
signal
oscillation
oscillator
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2022079934A
Other languages
Japanese (ja)
Inventor
元俊 咸
Hirosugu Kan
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Original Assignee
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sumitomo Wiring Systems Ltd, AutoNetworks Technologies Ltd, Sumitomo Electric Industries Ltd filed Critical Sumitomo Wiring Systems Ltd
Priority to JP2022079934A priority Critical patent/JP2023168681A/en
Priority to PCT/JP2023/016998 priority patent/WO2023223817A1/en
Publication of JP2023168681A publication Critical patent/JP2023168681A/en
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/10Packet switching elements characterised by the switching fabric construction
    • H04L49/112Switch control, e.g. arbitration

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mechanical Engineering (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

To detect unauthorized intrusion more reliably.SOLUTION: An on-vehicle device connected to an ECU equipped on a vehicle with a communication line includes: a PHY part for converting a reception signal received from the communication line to a digital signal; an oscillation circuit for outputting a first oscillation signal based on oscillation of a first oscillator; a detection circuit for outputting a detection value according to the difference between the frequency of the first oscillation signal and the frequency of a second oscillation signal included in the reception signal; a switch part for switching between a first state in which at least a part of signal in the reception signal is not inputted to the PHY part and a second state in which the reception signal is inputted to the PHY part; and a control part for controlling the switch part, the control part makes the switch part to the first state if the detection value represent a difference exceeding a predetermined value from a normal value according to the difference between the frequency of the first oscillation signal and the frequency of a third oscillation signal generated based on the oscillation of a second oscillator included in the ECU, and makes the switch part to the second state if the detection value is within the predetermined value from the normal value.SELECTED DRAWING: Figure 3

Description

本開示は、車載装置、制御方法及びコンピュータプログラムに関する。 The present disclosure relates to an in-vehicle device, a control method, and a computer program.

車両に搭載されるECU(Electronic Control Unit)等を含む車載ネットワークへの不正侵入を防止するための技術が知られている。例えば、特許文献1には、ECUに含まれるCPUがポートに接続される端末を監視する。そして、接続された端末のMACアドレスが、MACアドレステーブルに予め登録された端末の宛先MACアドレスと異なる場合に、当該ポートを使用不能とすることで、車載LANへの不正侵入を防ぐ。 2. Description of the Related Art Techniques for preventing unauthorized intrusion into an in-vehicle network including an ECU (Electronic Control Unit) etc. installed in a vehicle are known. For example, in Patent Document 1, a CPU included in an ECU monitors a terminal connected to a port. If the MAC address of the connected terminal is different from the destination MAC address of the terminal registered in advance in the MAC address table, the port is disabled, thereby preventing unauthorized intrusion into the in-vehicle LAN.

特開2019-125991号公報JP2019-125991A

近年、車載ネットワーク内の複数のECU間において送受信されるデータを不正端末によって盗み見ることで、正常なシーケンスを不正端末に記録した後、不正端末が一方のECUになりすまして車載ネットワークに不正に侵入する手法が存在する。 In recent years, unauthorized terminals have been able to eavesdrop on data sent and received between multiple ECUs in the in-vehicle network, record normal sequences on the unauthorized terminal, and then impersonate one of the ECUs and illegally infiltrate the in-vehicle network. There is a method.

この場合、不正端末は車載ネットワークに含まれるECUのMACアドレスをコピーするため、特許文献1のような従来の監視手法では不正侵入を検出することができない。 In this case, since the unauthorized terminal copies the MAC address of the ECU included in the in-vehicle network, conventional monitoring methods such as those disclosed in Patent Document 1 cannot detect unauthorized intrusion.

かかる課題に鑑み、本開示は、より確実に不正侵入を検出することができる車載装置、制御方法及びコンピュータプログラムを提供することを目的とする。 In view of such problems, an object of the present disclosure is to provide an in-vehicle device, a control method, and a computer program that can more reliably detect unauthorized intrusion.

本開示の車載装置は、車両に搭載されるECUと通信線により接続されている車載装置であって、前記通信線から受信される受信信号をデジタル信号に変換するPHY部と、第1発振器の発振に基づいて第1発振信号を出力する発振回路と、前記第1発振信号の周波数と、前記受信信号に含まれる第2発振信号の周波数と、の差分に応じた検出値を出力する検出回路と、前記受信信号のうち少なくとも一部の信号を前記PHY部に入力しない第1状態と、前記受信信号を前記PHY部に入力する第2状態と、に切り換えるスイッチ部と、前記スイッチ部を制御する制御部と、を備え、前記制御部は、前記検出値が、前記第1発振信号の周波数と、前記ECUに含まれる第2発振器の発振に基づいて生成される第3発振信号の周波数と、の差分に応じた正常値から所定値を超えて相違する場合に、前記スイッチ部を前記第1状態とし、前記検出値が、前記正常値から前記所定値以内である場合に、前記スイッチ部を前記第2状態とする、車載装置である。 An in-vehicle device of the present disclosure is an in-vehicle device that is connected to an ECU mounted on a vehicle through a communication line, and includes a PHY unit that converts a reception signal received from the communication line into a digital signal, and a first oscillator. an oscillation circuit that outputs a first oscillation signal based on oscillation; and a detection circuit that outputs a detected value according to a difference between the frequency of the first oscillation signal and the frequency of a second oscillation signal included in the received signal. a switch unit for switching between a first state in which at least some of the received signals are not input to the PHY unit and a second state in which the received signals are input to the PHY unit; and a switch unit for controlling the switch unit. and a control unit, wherein the detected value is the frequency of the first oscillation signal and the frequency of a third oscillation signal generated based on oscillation of a second oscillator included in the ECU. , when the detected value is different from the normal value by more than a predetermined value according to the difference, the switch section is set to the first state, and when the detected value is within the predetermined value from the normal value, the switch section is set to the first state. The vehicle-mounted device is configured to set the second state to the second state.

本開示の制御方法は、車両に搭載されるECUと通信線により接続されている車載装置を制御する制御方法であって、検出値が、正常値から所定値を超えて相違する場合に、前記通信線から受信される受信信号のうち少なくとも一部の信号をPHY部に入力しない第1状態とする第1ステップと、前記検出値が、前記正常値から前記所定値以内である場合に、前記受信信号を前記PHY部に入力する第2状態とする第2ステップと、を備え、前記PHY部は、前記受信信号をデジタル信号に変換し、前記検出値は、前記車載装置に含まれる発振回路が第1発振器の発振に基づいて出力する第1発振信号の周波数と、前記受信信号に含まれる第2発振信号の周波数と、の差分に応じた値であり、前記正常値は、前記第1発振信号の周波数と、前記ECUに含まれる第2発振器の発振に基づいて生成される第3発振信号の周波数と、の差分に応じた値である、制御方法である。 The control method of the present disclosure is a control method for controlling an in-vehicle device connected to an ECU mounted on a vehicle through a communication line, and when a detected value differs from a normal value by more than a predetermined value, a first step of setting a first state in which at least some of the received signals received from the communication line are not input to the PHY unit; a second step of inputting the received signal into the PHY unit into a second state; the PHY unit converts the received signal into a digital signal; and the detected value is transmitted to an oscillation circuit included in the vehicle-mounted device. is a value corresponding to the difference between the frequency of the first oscillation signal output based on the oscillation of the first oscillator and the frequency of the second oscillation signal included in the received signal, and the normal value is In this control method, the value corresponds to the difference between the frequency of an oscillation signal and the frequency of a third oscillation signal generated based on oscillation of a second oscillator included in the ECU.

本開示のコンピュータプログラムは、車両に搭載されるECUと通信線により接続されている車載装置を制御するためのコンピュータプログラムであって、コンピュータプログラムは、コンピュータに、検出値が、正常値から所定値を超えて相違する場合に、前記通信線から受信される受信信号のうち少なくとも一部の信号をPHY部に入力しない第1状態とする第1ステップと、前記検出値が、前記正常値から前記所定値以内である場合に、前記受信信号を前記PHY部に入力する第2状態とする第2ステップと、を実行させ、前記PHY部は、前記受信信号をデジタル信号に変換し、前記検出値は、前記車載装置に含まれる発振回路が第1発振器の発振に基づいて出力する第1発振信号の周波数と、前記受信信号に含まれる第2発振信号の周波数と、の差分に応じた値であり、前記正常値は、前記第1発振信号の周波数と、前記ECUに含まれる第2発振器の発振に基づいて生成される第3発振信号の周波数と、の差分に応じた値である、コンピュータプログラムである。 A computer program of the present disclosure is a computer program for controlling an on-vehicle device connected to an ECU mounted on a vehicle through a communication line, and the computer program causes the computer to detect a detected value from a normal value to a predetermined value. a first step of setting a first state in which at least part of the received signals received from the communication line is not input to the PHY unit if the detected value is different from the normal value; If the value is within a predetermined value, the PHY unit converts the received signal into a digital signal and inputs the received signal into the PHY unit. is a value corresponding to the difference between the frequency of a first oscillation signal output by an oscillation circuit included in the in-vehicle device based on oscillation of a first oscillator and the frequency of a second oscillation signal included in the received signal. and the normal value is a value corresponding to a difference between the frequency of the first oscillation signal and the frequency of a third oscillation signal generated based on oscillation of a second oscillator included in the ECU. It is a program.

本開示によれば、より確実に不正侵入を検出することができる。 According to the present disclosure, unauthorized intrusion can be detected more reliably.

図1は、実施形態に係る車載システムの構成例を示す図である。FIG. 1 is a diagram illustrating a configuration example of an in-vehicle system according to an embodiment. 図2は、図1の車載システムが不正侵入されている様子を示す図である。FIG. 2 is a diagram showing how the in-vehicle system shown in FIG. 1 has been illegally invaded. 図3は、実施形態に係る車載装置の構成例を示す図である。FIG. 3 is a diagram illustrating a configuration example of the in-vehicle device according to the embodiment. 図4は、実施形態に係る検出方法を例示するフローチャートである。FIG. 4 is a flowchart illustrating the detection method according to the embodiment. 図5は、実施形態に係る検出方法を例示するフローチャートである。FIG. 5 is a flowchart illustrating the detection method according to the embodiment. 図6は、実施形態に係る検出値を例示するグラフである。FIG. 6 is a graph illustrating detected values according to the embodiment. 図7は、発振器の温度特性を例示するグラフである。FIG. 7 is a graph illustrating the temperature characteristics of the oscillator. 図8は、変形例に係る正常値と温度の関係を例示するテーブルである。FIG. 8 is a table illustrating the relationship between normal values and temperature according to a modification. 図9は、発振器のエージング特性を例示するグラフである。FIG. 9 is a graph illustrating aging characteristics of an oscillator. 図10は、変形例に係る車載システムの構成を示す図である。FIG. 10 is a diagram showing the configuration of an in-vehicle system according to a modification. 図11は、変形例に係る検出値を例示するグラフである。FIG. 11 is a graph illustrating detected values according to a modified example.

[本開示の実施形態の説明]
本開示の実施形態には、その要旨として、以下の構成が含まれる。 [Description of embodiments of the present disclosure]
The embodiment of the present disclosure includes the following configuration as its gist.

(1)本開示の車載装置は、車両に搭載されるECUと通信線により接続されている車載装置であって、前記通信線から受信される受信信号をデジタル信号に変換するPHY部と、第1発振器の発振に基づいて第1発振信号を出力する発振回路と、前記第1発振信号の周波数と、前記受信信号に含まれる第2発振信号の周波数と、の差分に応じた検出値を出力する検出回路と、前記受信信号のうち少なくとも一部の信号を前記PHY部に入力しない第1状態と、前記受信信号を前記PHY部に入力する第2状態と、に切り換えるスイッチ部と、前記スイッチ部を制御する制御部と、を備え、前記制御部は、前記検出値が、前記第1発振信号の周波数と、前記ECUに含まれる第2発振器の発振に基づいて生成される第3発振信号の周波数と、の差分に応じた正常値から所定値を超えて相違する場合に、前記スイッチ部を前記第1状態とし、前記検出値が、前記正常値から前記所定値以内である場合に、前記スイッチ部を前記第2状態とする、車載装置である。 (1) The in-vehicle device of the present disclosure is an in-vehicle device that is connected to an ECU installed in a vehicle via a communication line, and includes a PHY unit that converts a reception signal received from the communication line into a digital signal, and a PHY unit that converts a reception signal received from the communication line into a digital signal. an oscillation circuit that outputs a first oscillation signal based on oscillation of a first oscillator, and outputs a detected value according to a difference between the frequency of the first oscillation signal and the frequency of a second oscillation signal included in the received signal. a detection circuit for switching between a first state in which at least part of the received signal is not input to the PHY unit and a second state in which the received signal is input to the PHY unit; a third oscillation signal generated based on the frequency of the first oscillation signal and oscillation of a second oscillator included in the ECU; When the frequency differs by more than a predetermined value from a normal value according to the difference between The in-vehicle device sets the switch section to the second state.

不正端末等では、ECUの通信シーケンス等を模倣することはできても、ECUの第2発振器に起因する第3発振信号を模倣することができない。このため、通信線から受信される第2発振信号の周波数が、第3発振信号の周波数に相当するか否かを判断することで、より確実に不正侵入を検出することができる。 An unauthorized terminal or the like may be able to imitate the communication sequence of the ECU, but cannot imitate the third oscillation signal caused by the second oscillator of the ECU. Therefore, by determining whether the frequency of the second oscillation signal received from the communication line corresponds to the frequency of the third oscillation signal, unauthorized intrusion can be detected more reliably.

(2)前記(1)の車載装置において、前記検出回路は、前記第1発振信号と前記第2発振信号とが入力され、前記第1発振信号の周波数と前記第2発振信号の周波数との差分を検出する第1回路と、前記第1回路において検出された差分を前記検出値に変換する第2回路と、を含んでもよい。 (2) In the in-vehicle device of (1) above, the detection circuit receives the first oscillation signal and the second oscillation signal, and the detection circuit has a frequency difference between the frequency of the first oscillation signal and the frequency of the second oscillation signal. The device may include a first circuit that detects a difference, and a second circuit that converts the difference detected by the first circuit into the detected value.

このように構成することで、第1発振信号の周波数と第2発振信号の周波数との差分を、検出値に変換することができる。 With this configuration, the difference between the frequency of the first oscillation signal and the frequency of the second oscillation signal can be converted into a detected value.

(3)前記(2)の車載装置において、前記受信信号は、前記第2発振信号とデータ信号とが重畳された信号であってもよい。この場合、前記検出回路は、前記受信信号から前記第2発振信号を抽出して、前記第1回路に出力する抽出回路をさらに含んでもよい。 (3) In the vehicle-mounted device of (2) above, the received signal may be a signal in which the second oscillation signal and the data signal are superimposed. In this case, the detection circuit may further include an extraction circuit that extracts the second oscillation signal from the received signal and outputs it to the first circuit.

このように構成することで、受信信号から第2発振信号を抽出することができる。 With this configuration, the second oscillation signal can be extracted from the received signal.

(4)前記(1)から前記(3)のいずれかの車載装置において、前記正常値が予め記憶されている記憶部をさらに備えてもよい。 (4) The in-vehicle device according to any one of (1) to (3) above may further include a storage section in which the normal value is stored in advance.

(5)前記(4)の車載装置において、前記制御部は、第1モードと第2モードとを含む複数の動作モードを選択可能であり、前記第1モードが選択されている場合、前記制御部は、前記記憶部に記憶されている前記正常値を、前記第1モードが選択されている間に前記検出回路から出力される前記検出値に変更し、前記第2モードが選択されている場合、前記制御部は、前記記憶部に記憶されている前記正常値を変更しなくてもよい。 (5) In the vehicle-mounted device according to (4) above, the control unit is capable of selecting a plurality of operation modes including a first mode and a second mode, and when the first mode is selected, the control unit The unit changes the normal value stored in the storage unit to the detected value output from the detection circuit while the first mode is selected, and the second mode is selected. In this case, the control unit does not need to change the normal value stored in the storage unit.

このように構成することで、経年変化に起因する発振器の周波数偏差を補償することができるため、不正侵入をより確実に検出することができる。 With this configuration, it is possible to compensate for the frequency deviation of the oscillator due to aging, so that unauthorized intrusion can be detected more reliably.

(6)前記(4)又は前記(5)の車載装置において、前記制御部は、前記第1発振器及び前記第2発振器のうち少なくとも一方の温度を検出する温度センサの検出温度に基づいて、前記正常値を決定してもよい。 (6) In the in-vehicle device according to (4) or (5) above, the control unit may control the A normal value may be determined.

このように構成することで、温度変化に起因する発振器の周波数偏差を補償することができるため、不正侵入をより確実に検出することができる。 With this configuration, it is possible to compensate for the frequency deviation of the oscillator caused by temperature changes, so that unauthorized intrusion can be detected more reliably.

(7)前記(1)から前記(6)のいずれかの車載装置において、前記制御部は、前記第2発振器の温度を調整する温度調整部を制御し、前記検出回路は、前記第1発振信号の周波数と、前記温度調整部により前記第2発振器が第1の所定温度に調整されている間に受信される前記受信信号に含まれる前記第2発振信号の周波数と、の差分に応じた前記検出値である第1の検出値を前記制御部へ出力し、前記制御部は、前記第1の検出値が、前記第1発振信号の周波数と、前記温度調整部により前記第2発振器が前記第1の所定温度に調整されている間に前記第2発振器の発振に基づいて生成される前記第3発振信号の周波数と、の差分に応じた前記正常値である第1の正常値から所定値を超えて相違する場合に、前記スイッチ部を前記第1状態としてもよい。 (7) In the in-vehicle device according to any one of (1) to (6) above, the control unit controls a temperature adjustment unit that adjusts the temperature of the second oscillator, and the detection circuit controls the temperature of the first oscillator. according to the difference between the frequency of the signal and the frequency of the second oscillation signal included in the received signal received while the second oscillator is being adjusted to the first predetermined temperature by the temperature adjustment section. The first detection value, which is the detection value, is output to the control unit, and the control unit is configured to output the first detection value to the frequency of the first oscillation signal and the second oscillator by the temperature adjustment unit. and the frequency of the third oscillation signal generated based on the oscillation of the second oscillator while the temperature is being adjusted to the first predetermined temperature. If the difference exceeds a predetermined value, the switch section may be placed in the first state.

このような構成によれば、第1の検出値が温度調整部による温度調整に追従しない場合に不正侵入を検出し、第1の検出値が温度調整部による温度調整に追従している場合に不正侵入を検出しない。これにより、ある温度において第2発振器の周波数と第3発振器の周波数とが偶然一致する場合であっても、不正侵入を検出することができる。 According to such a configuration, unauthorized intrusion is detected when the first detection value does not follow the temperature adjustment by the temperature adjustment section, and when the first detection value follows the temperature adjustment by the temperature adjustment section. Unauthorized intrusion is not detected. Thereby, even if the frequency of the second oscillator and the frequency of the third oscillator coincidentally match at a certain temperature, unauthorized intrusion can be detected.

(8)本開示の制御方法は、車両に搭載されるECUと通信線により接続されている車載装置を制御する制御方法であって、検出値が、正常値から所定値を超えて相違する場合に、前記通信線から受信される受信信号のうち少なくとも一部の信号をPHY部に入力しない第1状態とする第1ステップと、前記検出値が、前記正常値から前記所定値以内である場合に、前記受信信号を前記PHY部に入力する第2状態とする第2ステップと、を備え、前記PHY部は、前記受信信号をデジタル信号に変換し、前記検出値は、前記車載装置に含まれる発振回路が第1発振器の発振に基づいて出力する第1発振信号の周波数と、前記受信信号に含まれる第2発振信号の周波数と、の差分に応じた値であり、前記正常値は、前記第1発振信号の周波数と、前記ECUに含まれる第2発振器の発振に基づいて生成される第3発振信号の周波数と、の差分に応じた値である、制御方法である。 (8) The control method of the present disclosure is a control method for controlling an on-vehicle device connected to an ECU mounted on a vehicle through a communication line, and when the detected value differs from a normal value by more than a predetermined value. a first step of setting a first state in which at least part of the received signals received from the communication line is not input to the PHY unit; and when the detected value is within the predetermined value from the normal value. and a second step of inputting the received signal into the PHY unit into a second state, wherein the PHY unit converts the received signal into a digital signal, and the detected value is included in the on-vehicle device. The normal value is a value corresponding to the difference between the frequency of the first oscillation signal outputted by the oscillation circuit based on the oscillation of the first oscillator and the frequency of the second oscillation signal included in the received signal, and the normal value is In this control method, the value corresponds to a difference between the frequency of the first oscillation signal and the frequency of a third oscillation signal generated based on oscillation of a second oscillator included in the ECU.

不正端末等では、ECUの通信シーケンス等を模倣することはできても、ECUの第2発振器に起因する第3発振信号を模倣することができない。このため、通信線から受信される第2発振信号の周波数が、第3発振信号の周波数に相当するか否かを判断することで、より確実に不正侵入を検出することができる。また、不正侵入の検出が無いときに限って受信信号がPHY部に入力されるため、不正な受信信号がPHY部に入力されることを防止することができる。 An unauthorized terminal or the like may be able to imitate the communication sequence of the ECU, but cannot imitate the third oscillation signal caused by the second oscillator of the ECU. Therefore, by determining whether the frequency of the second oscillation signal received from the communication line corresponds to the frequency of the third oscillation signal, unauthorized intrusion can be detected more reliably. Furthermore, since the received signal is input to the PHY unit only when no unauthorized intrusion is detected, it is possible to prevent unauthorized received signals from being input to the PHY unit.

(9)本開示のコンピュータプログラムは、車両に搭載されるECUと通信線により接続されている車載装置を制御するためのコンピュータプログラムであって、コンピュータプログラムは、コンピュータに、検出値が、正常値から所定値を超えて相違する場合に、前記通信線から受信される受信信号のうち少なくとも一部の信号をPHY部に入力しない第1状態とする第1ステップと、前記検出値が、前記正常値から前記所定値以内である場合に、前記受信信号を前記PHY部に入力する第2状態とする第2ステップと、を実行させ、前記PHY部は、前記受信信号をデジタル信号に変換し、前記検出値は、前記車載装置に含まれる発振回路が第1発振器の発振に基づいて出力する第1発振信号の周波数と、前記受信信号に含まれる第2発振信号の周波数と、の差分に応じた値であり、前記正常値は、前記第1発振信号の周波数と、前記ECUに含まれる第2発振器の発振に基づいて生成される第3発振信号の周波数と、の差分に応じた値である、コンピュータプログラムである。 (9) The computer program of the present disclosure is a computer program for controlling an in-vehicle device connected to an ECU installed in a vehicle through a communication line, and the computer program causes the computer to detect a detected value as a normal value. a first step of setting a first state in which at least part of the received signals received from the communication line is not input to the PHY unit when the detected value differs by more than a predetermined value; If the value is within the predetermined value, the received signal is input to the PHY unit in a second state, and the PHY unit converts the received signal into a digital signal; The detected value is based on the difference between the frequency of a first oscillation signal output by an oscillation circuit included in the in-vehicle device based on oscillation of a first oscillator and the frequency of a second oscillation signal included in the received signal. The normal value is a value corresponding to the difference between the frequency of the first oscillation signal and the frequency of a third oscillation signal generated based on oscillation of a second oscillator included in the ECU. It's a computer program.

不正端末等では、ECUの通信シーケンス等を模倣することはできても、ECUの第2発振器に起因する第3発振信号を模倣することができない。このため、通信線から受信される第2発振信号の周波数が、第3発振信号の周波数に相当するか否かを判断することで、より確実に不正侵入を検出することができる。また、不正侵入の検出が無いときに限って受信信号がPHY部に入力されるため、不正な受信信号がPHY部に入力されることを防止することができる。 An unauthorized terminal or the like may be able to imitate the communication sequence of the ECU, but cannot imitate the third oscillation signal caused by the second oscillator of the ECU. Therefore, by determining whether the frequency of the second oscillation signal received from the communication line corresponds to the frequency of the third oscillation signal, unauthorized intrusion can be detected more reliably. Furthermore, since the received signal is input to the PHY unit only when no unauthorized intrusion is detected, it is possible to prevent unauthorized received signals from being input to the PHY unit.

[1.本開示の実施形態の詳細]
以下、図面を参照して、本開示の実施形態の詳細を説明する。 [1. Details of embodiments of the present disclosure]
Hereinafter, details of embodiments of the present disclosure will be described with reference to the drawings.

[1.1 車載システム1の構成]
図1は、実施形態に係る車載システム1の構成例を示す図である。 [1.1 Configuration of in-vehicle system 1]
FIG. 1 is a diagram showing a configuration example of an in-vehicle system 1 according to an embodiment.

車載システム1は、自動車等の車両9に搭載されているシステムである。車載システム1は、車載装置10と、複数のECU(Electronic Control Unit)20と、車載装置10と複数のECU20との間をそれぞれ接続する複数の通信線30と、を備える。車載装置10及び複数のECU20は、複数の通信線30によりそれぞれ接続されることで、車載ネットワークを構成する。 The in-vehicle system 1 is a system installed in a vehicle 9 such as an automobile. The in-vehicle system 1 includes an in-vehicle device 10, a plurality of ECUs (Electronic Control Units) 20, and a plurality of communication lines 30 that connect the in-vehicle device 10 and the plurality of ECUs 20, respectively. The in-vehicle device 10 and the plurality of ECUs 20 are connected to each other via a plurality of communication lines 30, thereby forming an in-vehicle network.

車載装置10は、例えば複数のECU20間において送受信されるデータを中継する中継装置である。具体的には、車載装置10はイーサネットスイッチ(イーサネットは登録商標)及びL2スイッチとしての機能を有する中継装置である。なお、車載装置10は複数のECU20の制御を管理する統合ECUであってもよいし、複数のECU20と同様のECUであってもよい。 The in-vehicle device 10 is, for example, a relay device that relays data transmitted and received between a plurality of ECUs 20. Specifically, the in-vehicle device 10 is a relay device that functions as an Ethernet switch (Ethernet is a registered trademark) and an L2 switch. Note that the in-vehicle device 10 may be an integrated ECU that manages control of a plurality of ECUs 20, or may be an ECU similar to the plurality of ECUs 20.

車載システム1に含まれるECU20の個数は、特に限定されず、1個でもよい。図1の例では、車載システム1は4個のECU20を備える。4個のECU20を区別する場合、ECU21,22,23,24とそれぞれ称する。 The number of ECUs 20 included in the in-vehicle system 1 is not particularly limited, and may be one. In the example of FIG. 1, the in-vehicle system 1 includes four ECUs 20. When distinguishing the four ECUs 20, they are referred to as ECUs 21, 22, 23, and 24, respectively.

ECU20は、例えば車両9の各部(例えば、制動装置、ドア、バッテリ、エアコンディショナ等)を制御する装置(操作系ECU)である。ECU20の機能は特に限定されず、ECU20は、センサと通信して、車両9の各部の状態を監視する装置(認知系ECU)であってもよい。複数のECU20は、それぞれ異なる機能を有してもよいし、それぞれ同じ機能を有してもよい。 The ECU 20 is, for example, a device (operation system ECU) that controls each part of the vehicle 9 (for example, a braking device, a door, a battery, an air conditioner, etc.). The functions of the ECU 20 are not particularly limited, and the ECU 20 may be a device (a cognitive ECU) that monitors the state of each part of the vehicle 9 by communicating with a sensor. The plurality of ECUs 20 may each have different functions, or may each have the same function.

複数(図1の例では4本)の通信線30は、それぞれ車載装置10から延びている。4本の通信線30を区別する場合、ECU21に延びる線を通信線31と称し、ECU22に延びる線を通信線32と称し、ECU23に延びる線を通信線33と称し、ECU24に延びる線を通信線34と称する。 A plurality of (four in the example of FIG. 1) communication lines 30 each extend from the in-vehicle device 10. When distinguishing between the four communication lines 30, the line extending to the ECU 21 is referred to as the communication line 31, the line extending to the ECU 22 is referred to as the communication line 32, the line extending to the ECU 23 is referred to as the communication line 33, and the line extending to the ECU 24 is referred to as the communication line 32. It is called line 34.

車載ネットワークがイーサネット規格に基づくネットワークである場合、通信線30は、例えば1000BASE-T1又は1000BASE-RHの規格に準拠した通信線である。なお、通信線30はCAN(Controller Area Network)等のその他の規格に準拠していてもよい。 When the in-vehicle network is a network based on the Ethernet standard, the communication line 30 is a communication line based on the 1000BASE-T1 or 1000BASE-RH standard, for example. Note that the communication line 30 may comply with other standards such as CAN (Controller Area Network).

[1.2 実施形態が解決しようとする課題]
図2は、車載システム1が不正侵入されている様子を示す図である。はじめに、侵入者は、通信線31の途中に、不正端末D1が接続されているハブH1を挿入する。不正端末D1は、例えばラップトップコンピュータ等のパーソナルコンピュータ、又はタブレット端末である。ハブH1は、例えば通信線31に流れるデータをコピーするリピータハブである。例えば、侵入者は通信線31を切断して切断部分にそれぞれコネクタを取り付け、ハブH1を当該コネクタに接続する。また、車載装置10及びECU21の一方から通信線31を引き抜いてハブH1に差し込み、新たな通信線をハブH1から車載装置10及びECU21の他方に接続する場合もある。 [1.2 Problems to be solved by the embodiment]
FIG. 2 is a diagram showing how the in-vehicle system 1 is being illegally invaded. First, the intruder inserts the hub H1 to which the unauthorized terminal D1 is connected in the middle of the communication line 31. The unauthorized terminal D1 is, for example, a personal computer such as a laptop computer, or a tablet terminal. The hub H1 is, for example, a repeater hub that copies data flowing through the communication line 31. For example, an intruder cuts the communication line 31, attaches a connector to each cut portion, and connects the hub H1 to the connector. Alternatively, the communication line 31 may be pulled out from one of the vehicle-mounted device 10 and the ECU 21 and inserted into the hub H1, and a new communication line may be connected from the hub H1 to the other of the vehicle-mounted device 10 and the ECU 21.

続いて、侵入者は、ハブH1に接続されている不正端末D1に、通信線31に流れるデータをコピーする。そして、不正端末D1は、当該データに基づいて、例えばECU21のMAC(Media Access Control)アドレスと、ECU21と車載装置10との間における通信のシーケンスを解析する。その後、不正端末D1は、ECU21のMACアドレス及び通信シーケンスをコピーすることで、ECU21になりすまして不正なデータを車載装置10に送信する。 Subsequently, the intruder copies the data flowing through the communication line 31 to the unauthorized terminal D1 connected to the hub H1. The unauthorized terminal D1 then analyzes, for example, the MAC (Media Access Control) address of the ECU 21 and the communication sequence between the ECU 21 and the vehicle-mounted device 10 based on the data. Thereafter, the unauthorized terminal D1 impersonates the ECU 21 by copying the MAC address and communication sequence of the ECU 21 and transmits unauthorized data to the in-vehicle device 10.

例えば、特許文献1の場合、MACアドレスに基づいて、通信の相手方が正常か不正かを判断する。上記の侵入手法では、ECU21のMACアドレスをコピーした状態で不正侵入を行うため、特許文献1のようなソフト的な監視手法では不正侵入を検出することができない。 For example, in the case of Patent Document 1, it is determined whether the communication partner is normal or unauthorized based on the MAC address. In the above-mentioned intrusion method, the MAC address of the ECU 21 is copied and the unauthorized intrusion is carried out, so a software monitoring method such as that disclosed in Patent Document 1 cannot detect the unauthorized intrusion.

そこで、本実施形態では、ECU20に含まれる発振器(例えば、水晶振動子)の周波数に着目して、不正侵入を検知する。複数のECU20には、それぞれ発振信号(クロック信号)を生成するために発振器が設けられている。例えば、ECU21は、第2発振器71を含む。発振器の周波数には個体差(許容偏差)があり、同じ仕様の発振器であっても、例えば±20~50ppm程度の周波数の差が生じる。このため、従来より、信号の受信側において、この周波数差をなくすように、クロックを同期させている。 Therefore, in this embodiment, unauthorized intrusion is detected by focusing on the frequency of an oscillator (for example, a crystal resonator) included in the ECU 20. Each of the plurality of ECUs 20 is provided with an oscillator to generate an oscillation signal (clock signal). For example, the ECU 21 includes a second oscillator 71. There are individual differences (tolerances) in the frequency of oscillators, and even if the oscillators have the same specifications, there will be a difference in frequency of, for example, about ±20 to 50 ppm. For this reason, conventionally, clocks have been synchronized on the signal receiving side to eliminate this frequency difference.

図1に示すように、正常な状態(不正侵入のない状態)において、車載装置10はECU21に含まれる第2発振器71の発振に基づいて生成される発振信号SG3(本開示の「第3発振信号」の一例)を受信する。 As shown in FIG. 1, in a normal state (a state without unauthorized access), the in-vehicle device 10 generates an oscillation signal SG3 (“third oscillation signal).

一方で、図2に示すように、不正端末D1がECU21になりすまして車載装置10にデータを送信する場合、車載装置10はハブH1に含まれる第3発振器H2の発振に基づいて生成される発振信号SGxを受信する。 On the other hand, as shown in FIG. 2, when the unauthorized terminal D1 impersonates the ECU 21 and transmits data to the in-vehicle device 10, the in-vehicle device 10 transmits the oscillation generated based on the oscillation of the third oscillator H2 included in the hub H1. Receive signal SGx.

不正端末D1は、ECU21のMACアドレス及び通信シーケンス等、データの内容に関してなりすますことはできても、車載装置10に送信される発振信号SGxの周波数は第3発振器H2の特性に依存するため、ECU21から送信される発振信号SG3の周波数を模倣することはできない。 Although the unauthorized terminal D1 is able to impersonate the ECU 21 with respect to data contents such as the MAC address and communication sequence, the frequency of the oscillation signal SGx sent to the on-vehicle device 10 depends on the characteristics of the third oscillator H2. It is not possible to imitate the frequency of the oscillation signal SG3 transmitted from the oscillation signal SG3.

発明者は、鋭意研究の結果、不正端末D1では発振器等のハード的な構成に起因する信号を模倣できないことを利用して、車載装置10において受信される発振信号の周波数が、ECU21の発振信号SG3の周波数に相当するか否かを判断することで、より確実に不正侵入を検出する発明を想到した。以下、その具体的構成を説明する。 As a result of intensive research, the inventor found that the frequency of the oscillation signal received by the in-vehicle device 10 is the same as that of the oscillation signal of the ECU 21, taking advantage of the fact that the unauthorized terminal D1 cannot imitate signals caused by the hardware configuration of an oscillator, etc. We have come up with an invention that more reliably detects unauthorized intrusion by determining whether the frequency corresponds to SG3. The specific configuration will be explained below.

[1.3 車載装置10の構成]
図3は、実施形態に係る車載装置10の構成例を示す図である。
車載装置10は、複数のPHY部11、処理装置12と、スイッチ部13と、検出回路14と、制御部15と、記憶部16と、読取部17と、第1発振器18と、温度センサ19と、を備える。 [1.3 Configuration of in-vehicle device 10]
FIG. 3 is a diagram illustrating a configuration example of the in-vehicle device 10 according to the embodiment.
The in-vehicle device 10 includes a plurality of PHY sections 11 , a processing device 12 , a switch section 13 , a detection circuit 14 , a control section 15 , a storage section 16 , a reading section 17 , a first oscillator 18 , and a temperature sensor 19 and.

PHY部11は、OSI(Open System Interconnection)参照モデルにおける物理層(Physical Layer)で動作する領域であり、例えばイーサネットPHY等の集積回路である。PHY部11は、通信線30から受信されるアナログ信号(受信信号RS1)を処理装置12が認識可能なデジタル信号DS1に変換して処理装置12へ出力する機能と、処理装置12から入力されるデジタル信号DS1をECU20が認識可能なアナログ信号に変換して通信線30へ送信する機能と、を有する。 The PHY unit 11 is an area that operates in a physical layer in the OSI (Open System Interconnection) reference model, and is, for example, an integrated circuit such as an Ethernet PHY. The PHY section 11 has a function of converting an analog signal (received signal RS1) received from the communication line 30 into a digital signal DS1 that can be recognized by the processing device 12 and outputting it to the processing device 12, and a function of converting the analog signal (received signal RS1) received from the communication line 30 to a digital signal DS1 that is input from the processing device 12. It has a function of converting the digital signal DS1 into an analog signal that can be recognized by the ECU 20 and transmitting it to the communication line 30.

車載装置10には、ECU20の個数に対応して4個のPHY部11が設けられている。
なお、PHY部11の個数は特に限定されず、例えば5個以上設けられてもよい。4個のPHY部11は、それぞれ同じ内部構成を有し、4本の通信線31,32,33,34にそれぞれ接続されている。 The in-vehicle device 10 is provided with four PHY sections 11 corresponding to the number of ECUs 20.
Note that the number of PHY units 11 is not particularly limited, and for example, five or more may be provided. The four PHY units 11 each have the same internal configuration and are connected to four communication lines 31, 32, 33, and 34, respectively.

4個のPHY部11のうち、通信線31から受信されるアナログ信号をデジタル信号DS1に変換するPHY部11を、「PHY部11a」と称して区別する。PHY部11aは、スイッチ部13の後述の第2ポート13bに接続されている。 Among the four PHY units 11, the PHY unit 11 that converts an analog signal received from the communication line 31 into a digital signal DS1 is referred to as a "PHY unit 11a" to distinguish it. The PHY section 11a is connected to a second port 13b of the switch section 13, which will be described later.

処理装置12は、PHY部11により変換されたデジタル信号DS1に基づいて、各種の処理を行う装置であり、例えばマイクロコントローラーユニット(MCU:Micro Controller Unit)である。処理装置12は、CPLD(Complex PLD)又はFPGA(Field Programmable Gate Array)等のPLD(Programmable Logic Device)であってもよい。処理装置12は、例えばデジタル信号DS1に基づいて、ECU20に制御指令を行ったり、ECU20の状態を解析したりする。 The processing device 12 is a device that performs various types of processing based on the digital signal DS1 converted by the PHY section 11, and is, for example, a microcontroller unit (MCU). The processing device 12 may be a PLD (Programmable Logic Device) such as a CPLD (Complex PLD) or an FPGA (Field Programmable Gate Array). The processing device 12 issues control commands to the ECU 20 and analyzes the state of the ECU 20 based on the digital signal DS1, for example.

スイッチ部13は、例えば半導体スイッチであり、具体的にはMOSFET(Metal-Oxide-Semiconductor Field-Effect-Transistor)を含むスイッチである。なお、スイッチ部13は、コイルと接点を含むメカニカルスイッチであってもよい。スイッチ部13は、制御部15の制御指令に基づいて、第1状態(図3の実線で示す状態)と第2状態(図3の仮想線で示す状態)とに切り換わる。 The switch unit 13 is, for example, a semiconductor switch, specifically a switch including a MOSFET (Metal-Oxide-Semiconductor Field-Effect-Transistor). Note that the switch section 13 may be a mechanical switch including a coil and a contact. The switch section 13 switches between a first state (the state shown by the solid line in FIG. 3) and a second state (the state shown by the imaginary line in FIG. 3) based on a control command from the control section 15.

第1状態は、通信線31から受信される受信信号RS1のうち少なくとも一部の信号をPHY部11aに入力しない状態である。第2状態は、通信線31から受信される受信信号RS1をPHY部11aに入力する状態である。具体的には、スイッチ部13は、検出回路14に電気的に接続している第1ポート13aと、PHY部11aに電気的に接続している第2ポート13bとを含む。例えば、スイッチ部13は、第1状態において、通信線31を第1ポート13aに電気的に接続させることで、通信線31から受信される受信信号RS1を全て検出回路14に出力し、PHY部11aには受信信号RS1を入力しない。 The first state is a state in which at least part of the received signal RS1 received from the communication line 31 is not input to the PHY unit 11a. The second state is a state in which the reception signal RS1 received from the communication line 31 is input to the PHY section 11a. Specifically, the switch section 13 includes a first port 13a electrically connected to the detection circuit 14 and a second port 13b electrically connected to the PHY section 11a. For example, in the first state, the switch unit 13 electrically connects the communication line 31 to the first port 13a, thereby outputting all the reception signals RS1 received from the communication line 31 to the detection circuit 14, and The received signal RS1 is not input to 11a.

なお、スイッチ部13は、第1状態において、受信信号RS1を例えば時間的に分割し、一部の信号を検出回路14に出力し、残りの一部の信号をPHY部11aに入力してもよい。この場合、PHY部11aには不完全な信号が入力されるため、デジタル信号DS1への変換を実行できずにエラーとなるか、PHY部11aにおいてデジタル信号DS1に変換できたとしても処理装置12においてエラーとなる。すなわち、第1状態においてPHY部11aに受信信号RS1のうち一部の信号が入力される場合であっても、当該一部の信号に基づいて処理装置12は正規の制御を実行しない。 Note that, in the first state, the switch unit 13 may divide the received signal RS1, for example, temporally, output a part of the signal to the detection circuit 14, and input the remaining part of the signal to the PHY unit 11a. good. In this case, since an incomplete signal is input to the PHY section 11a, the conversion to the digital signal DS1 cannot be executed and an error occurs, or even if the PHY section 11a can convert it to the digital signal DS1, the processing device 12 An error will occur. That is, even if a part of the received signal RS1 is input to the PHY unit 11a in the first state, the processing device 12 does not perform regular control based on the part of the signal.

スイッチ部13は、第2状態において、通信線31を第2ポート13bに電気的に接続させることで、通信線31から受信される受信信号RS1をPHY部11aに出力する。例えば、スイッチ部13は、第2状態において、通信線31から受信される受信信号RS1を全て(すなわち、完全な状態で)PHY部11aに出力する。ここで、受信信号RS1の完全な状態とは、PHY部11aにおいて正常にデジタル信号DS1へ変換するに足りる状態を意味する。このため、受信信号RS1がスイッチ部13を通過する際に受信信号RS1のうち一部の信号に欠けが生じても、PHY部11aにおいて正常にデジタル信号DS1へ変換できるのであれば、「完全な状態」と称する。 In the second state, the switch unit 13 outputs the reception signal RS1 received from the communication line 31 to the PHY unit 11a by electrically connecting the communication line 31 to the second port 13b. For example, in the second state, the switch unit 13 outputs the entire reception signal RS1 received from the communication line 31 (that is, in a complete state) to the PHY unit 11a. Here, the perfect state of the received signal RS1 means a state sufficient for normal conversion into the digital signal DS1 in the PHY section 11a. Therefore, even if a part of the received signal RS1 is missing when the received signal RS1 passes through the switch unit 13, if it can be converted normally into the digital signal DS1 in the PHY unit 11a, it is possible to ``state''.

検出回路14は、第1発振器18の発振に基づいて生成される第1発振信号SG1の周波数と、受信信号RS1に含まれる第2発振信号SG2の周波数と、の差分に応じた検出値Vxを制御部15に出力する回路である。検出回路14の詳細については、後述する。 The detection circuit 14 generates a detection value Vx according to the difference between the frequency of the first oscillation signal SG1 generated based on the oscillation of the first oscillator 18 and the frequency of the second oscillation signal SG2 included in the received signal RS1. This is a circuit that outputs to the control section 15. Details of the detection circuit 14 will be described later.

制御部15は、検出値Vxに基づいて、通信線31における不正侵入を判定し、その判定結果に応じてスイッチ部13を制御する。具体的には、制御部15は、検出回路14から入力される検出値Vxと、記憶部16に記憶されている正常値V1とを比較する。例えば、検出値Vxと正常値V1との差分の絶対値(|Vx-V1|)を算出する。そして、当該絶対値が、マージン値αを超える場合に(|Vx-V1|>α)、通信線31に不正侵入があることを判定する。 The control unit 15 determines unauthorized intrusion in the communication line 31 based on the detected value Vx, and controls the switch unit 13 according to the determination result. Specifically, the control unit 15 compares the detection value Vx input from the detection circuit 14 and the normal value V1 stored in the storage unit 16. For example, the absolute value of the difference between the detected value Vx and the normal value V1 (|Vx-V1|) is calculated. Then, if the absolute value exceeds the margin value α (|Vx−V1|>α), it is determined that there is unauthorized intrusion into the communication line 31.

不正侵入を判定した場合、制御部15はスイッチ部13を第1状態に維持することで、完全な状態の受信信号RS1がPHY部11aに入力されることを防止する。不正侵入が判定されない場合、制御部15はスイッチ部13を第1状態から第2状態に切り換えることで、受信信号RS1をPHY部11aに入力する。これにより、不正侵入の検出が無いときに限って完全な状態の受信信号RS1がPHY部11aに入力されるため、不正な受信信号RS1がPHY部11aに入力されることを防止することができる。 When it is determined that unauthorized intrusion has occurred, the control unit 15 maintains the switch unit 13 in the first state to prevent the received signal RS1 in a perfect state from being input to the PHY unit 11a. If unauthorized intrusion is not determined, the control unit 15 inputs the received signal RS1 to the PHY unit 11a by switching the switch unit 13 from the first state to the second state. As a result, the received signal RS1 in a perfect state is input to the PHY unit 11a only when no unauthorized intrusion is detected, so it is possible to prevent an unauthorized received signal RS1 from being input to the PHY unit 11a. .

また、第1状態において受信信号RS1を全て検出回路14に入力する場合、不正侵入が判定されている間は、PHY部11aへの入力が防止されるため、PHY部11aをスリープ状態等の省電力状態に保つことができるため、車載装置10の電力消費を抑制することができる。 In addition, when all received signals RS1 are input to the detection circuit 14 in the first state, input to the PHY unit 11a is prevented while unauthorized intrusion is being determined, so the PHY unit 11a is put into a sleep state, etc. Since the power state can be maintained, power consumption of the on-vehicle device 10 can be suppressed.

制御部15は、例えばプロセッサ等の回路構成(Circuitry)を含む。制御部15は、具体的には、1個又は複数個のCPU(Central Processing Unit)を含む。制御部15に含まれるプロセッサは、GPU(Graphics Processing Unit)であってもよい。また、制御部15は、例えばSoC(System-on-a-Chip)であってもよい。制御部15は、記憶部16に記憶されているコンピュータプログラムを読み出して、各種の演算及び制御を実行する。 The control unit 15 includes, for example, circuitry such as a processor. Specifically, the control unit 15 includes one or more CPUs (Central Processing Units). The processor included in the control unit 15 may be a GPU (Graphics Processing Unit). Further, the control unit 15 may be, for example, an SoC (System-on-a-Chip). The control unit 15 reads a computer program stored in the storage unit 16 and executes various calculations and controls.

制御部15は、第1発振器18の発振に基づいて第1発振信号SG1を生成する発振回路41を含む。発振回路41は、制御部15を動作させるためのクロック回路である。なお、発振回路41は、制御部15の外部に設けられてもよい。この場合、発振回路41は、制御部15の外部から制御部15に第1発振信号SG1を供給する。 The control unit 15 includes an oscillation circuit 41 that generates a first oscillation signal SG1 based on the oscillation of the first oscillator 18. The oscillation circuit 41 is a clock circuit for operating the control section 15. Note that the oscillation circuit 41 may be provided outside the control unit 15. In this case, the oscillation circuit 41 supplies the first oscillation signal SG1 to the control unit 15 from outside the control unit 15.

記憶部16は、揮発性メモリと、不揮発性メモリと有し、後述の正常値V1を含む各種のデータを記憶する。揮発性メモリは、例えばRAM(Random Access Memory)を含む。不揮発性メモリは、例えばフラッシュメモリ、HDD(Hard Disk Drive)、SSD(Solid State Drive)又はROM(Read Only Memory)等を含む。記憶部16は、例えば、不揮発性メモリにコンピュータプログラム及び各種のパラメータを記憶している。 The storage unit 16 includes a volatile memory and a nonvolatile memory, and stores various data including a normal value V1 described below. Volatile memory includes, for example, RAM (Random Access Memory). Nonvolatile memory includes, for example, flash memory, HDD (Hard Disk Drive), SSD (Solid State Drive), ROM (Read Only Memory), and the like. The storage unit 16 stores computer programs and various parameters in, for example, nonvolatile memory.

読取部17は、コンピュータが読取り可能な記録媒体17aから情報を読み取る。記録媒体17aは、例えばCD、DVD等の光学ディスク又はUSBフラッシュメモリである。読取部17は、例えば光学ドライブ又はUSB端子である。記録媒体17aにはコンピュータプログラム及び各種のパラメータが記録されており、記録媒体17aを読取部17に読み取らせることで、コンピュータプログラム及び各種のパラメータが記憶部16の不揮発性メモリに記憶される。 The reading unit 17 reads information from a computer-readable recording medium 17a. The recording medium 17a is, for example, an optical disc such as a CD or DVD, or a USB flash memory. The reading unit 17 is, for example, an optical drive or a USB terminal. A computer program and various parameters are recorded on the recording medium 17a, and by causing the reading section 17 to read the recording medium 17a, the computer program and various parameters are stored in the nonvolatile memory of the storage section 16.

第1発振器18は、車載装置10に含まれる各回路のクロック源として用いられる素子である。第1発振器18は、例えば水晶振動子である。なお、第1発振器18は、セラミック振動子であってもよい。図1の例では、車載装置10に1個の第1発振器18が設けられ、第1発振器18から制御部15内の発振回路41に発振成分が供給される。 The first oscillator 18 is an element used as a clock source for each circuit included in the vehicle-mounted device 10. The first oscillator 18 is, for example, a crystal resonator. Note that the first oscillator 18 may be a ceramic resonator. In the example of FIG. 1, one first oscillator 18 is provided in the vehicle-mounted device 10, and an oscillation component is supplied from the first oscillator 18 to the oscillation circuit 41 in the control unit 15.

温度センサ19は、第1発振器18の温度を検出するセンサである。温度センサ19は、例えばサーミスタ等の測温抵抗体(RTD:Resistance Temperature Detector)である。なお、温度センサ19は、熱電対又は赤外線放射温度計であってもよい。温度センサ19は検出信号を制御部15に出力する。 The temperature sensor 19 is a sensor that detects the temperature of the first oscillator 18. The temperature sensor 19 is, for example, a resistance temperature detector (RTD) such as a thermistor. Note that the temperature sensor 19 may be a thermocouple or an infrared radiation thermometer. Temperature sensor 19 outputs a detection signal to control section 15 .

[1.4 検出回路14の構成]
次に、検出回路14の内部構成について説明する。図3に示すように、検出回路14は、抽出回路42と、第1回路43と、第2回路44と、を含む。 [1.4 Configuration of detection circuit 14]
Next, the internal configuration of the detection circuit 14 will be explained. As shown in FIG. 3, the detection circuit 14 includes an extraction circuit 42, a first circuit 43, and a second circuit 44.

ここで、受信信号RS1は、ひとつの差動信号の中に、第2発振信号SG2(クロック)とデータ信号DS2とが重畳された信号である。これにより、1種類の通信線30によって第2発振信号SG2及びデータ信号DS2の両方を伝送することができる。 Here, the received signal RS1 is a signal in which the second oscillation signal SG2 (clock) and the data signal DS2 are superimposed in one differential signal. Thereby, both the second oscillation signal SG2 and the data signal DS2 can be transmitted through one type of communication line 30.

抽出回路42は、受信信号RS1から第2発振信号SG2を抽出して、第1回路43に出力する回路である。抽出回路42は、例えばCDR(Clock Data Recovery)回路である。 The extraction circuit 42 is a circuit that extracts the second oscillation signal SG2 from the received signal RS1 and outputs it to the first circuit 43. The extraction circuit 42 is, for example, a CDR (Clock Data Recovery) circuit.

第1回路43には、発振回路41から第1発振信号SG1が入力され、抽出回路42から第2発振信号SG2が入力される。第1回路43は、第1発振信号SG1の周波数と第2発振信号SG2の周波数の差分を検出する回路である。第1回路43は、例えばPFD(Phase Frequency Detector)回路である。第1回路43が検出した差分は、例えばパルス波として第2回路44へ出力される。 The first oscillation signal SG1 is input from the oscillation circuit 41 to the first circuit 43, and the second oscillation signal SG2 is input from the extraction circuit 42. The first circuit 43 is a circuit that detects the difference between the frequency of the first oscillation signal SG1 and the frequency of the second oscillation signal SG2. The first circuit 43 is, for example, a PFD (Phase Frequency Detector) circuit. The difference detected by the first circuit 43 is output to the second circuit 44 as a pulse wave, for example.

第2回路44は、第1回路43において検出された差分を検出値Vxに変換する回路である。第2回路44は、CP(Charge Pump)回路45と、フィルタ回路46と、AD(Analog to digital)変換回路47と、を含む。第1回路43において検出された差分は、CP回路45に入力される。 The second circuit 44 is a circuit that converts the difference detected in the first circuit 43 into a detected value Vx. The second circuit 44 includes a CP (Charge Pump) circuit 45, a filter circuit 46, and an AD (Analog to Digital) conversion circuit 47. The difference detected in the first circuit 43 is input to the CP circuit 45.

CP回路45は、第1回路43において検出された差分(パルス波)に応じた電流信号(パルス電流)を出力する回路であり、例えばコンデンサとダイオードとを含む。CP回路45において出力された電流信号はフィルタ回路46に入力される。 The CP circuit 45 is a circuit that outputs a current signal (pulse current) according to the difference (pulse wave) detected in the first circuit 43, and includes, for example, a capacitor and a diode. The current signal output from the CP circuit 45 is input to a filter circuit 46.

フィルタ回路46は、CP回路45において出力された電流信号を電圧値に変換する回路である。フィルタ回路46は、例えばラグリードフィルタであり、パルス電流を平滑化された電圧値に変換する。フィルタ回路46において出力された電圧値は、AD変換回路47に入力される。 The filter circuit 46 is a circuit that converts the current signal output from the CP circuit 45 into a voltage value. The filter circuit 46 is, for example, a lag lead filter, and converts the pulse current into a smoothed voltage value. The voltage value output from the filter circuit 46 is input to an AD conversion circuit 47.

AD変換回路47は、フィルタ回路46において出力された電圧値(アナログ値)をデジタル値に変換する回路である。AD変換回路47は、変換したデジタル値を検出値Vxとして、制御部15に出力する。なお、AD変換回路47は、制御部15の内部に設けられていてもよい。 The AD conversion circuit 47 is a circuit that converts the voltage value (analog value) output from the filter circuit 46 into a digital value. The AD conversion circuit 47 outputs the converted digital value to the control unit 15 as a detected value Vx. Note that the AD conversion circuit 47 may be provided inside the control section 15.

[1.5 検出方法]
次に、車載システム1における不正侵入の検出方法を説明する。
図4及び図5は、実施形態に係る検出方法を例示するフローチャートである。図4及び図5は、車載装置10が実行する制御をそれぞれ示している。
図6は、実施形態に係る検出値Vxを例示するグラフである。 [1.5 Detection method]
Next, a method for detecting unauthorized intrusion in the in-vehicle system 1 will be explained.
4 and 5 are flowcharts illustrating the detection method according to the embodiment. 4 and 5 each show the control executed by the in-vehicle device 10.
FIG. 6 is a graph illustrating the detected value Vx according to the embodiment.

車載システム1では、はじめに正常値V1の記憶を実行し、その後に不正侵入の検出を実行する。図4は正常値V1の記憶するための手順を示すフローチャートであり、図5は不正侵入の検出を実行するための手順を示すフローチャートである。図6は、図4及び図5の手順が実行されるタイミングを示すグラフであり、縦軸は検出値Vxを示し、横軸は時刻を示している。 The in-vehicle system 1 first stores the normal value V1, and then detects unauthorized intrusion. FIG. 4 is a flowchart showing the procedure for storing the normal value V1, and FIG. 5 is a flowchart showing the procedure for detecting unauthorized intrusion. FIG. 6 is a graph showing the timing at which the procedures in FIGS. 4 and 5 are executed, where the vertical axis shows the detected value Vx and the horizontal axis shows time.

正常値V1の記憶は、例えば車両9の出荷前に、車両9の製造工場において実行され、図6では時刻X1に実行される。車両9の出荷前(すなわち、製造工場内)であれば、車載システム1への不正侵入のおそれが低いため、不正侵入が無いものとして正常値V1を記憶部16に登録することができる。 The storage of the normal value V1 is executed, for example, at the manufacturing factory of the vehicle 9 before the vehicle 9 is shipped, and is executed at time X1 in FIG. 6. Before the vehicle 9 is shipped (that is, inside the manufacturing factory), the risk of unauthorized intrusion into the in-vehicle system 1 is low, and therefore the normal value V1 can be registered in the storage unit 16 assuming that there is no unauthorized intrusion.

図4を参照する。はじめに、制御部15の制御指令により、スイッチ部13が第1状態(図3の実線で示す状態)に切り換えられる(ステップS10)。これにより、通信線31から受信される受信信号RS1は、スイッチ部13を介して検出回路14に入力される。本例では、受信信号RS1は第1状態において全て検出回路14に入力されるが、前述のように受信信号RS1のうち一部の信号がPHY部11aに入力されてもよい。 See FIG. 4. First, the switch section 13 is switched to the first state (the state shown by the solid line in FIG. 3) by a control command from the control section 15 (step S10). Thereby, the reception signal RS1 received from the communication line 31 is input to the detection circuit 14 via the switch section 13. In this example, all of the received signal RS1 is input to the detection circuit 14 in the first state, but as described above, part of the received signal RS1 may be input to the PHY section 11a.

次に、第1回路43が、第1発振器18の発振に基づいて生成される第1発振信号SG1の周波数と、ECU21に含まれる第2発振器71の発振に基づいて生成される第3発振信号SG3の周波数との差分を検出する(ステップS11)。具体的には、車載装置10とECU21とを動作させ、例えばECU21から、第3発振信号SG3とデータ信号とが重畳されたテスト用の信号を、通信線31を経由して車載装置10へ送信する。車載装置10は、当該テスト用の信号を受信信号RS1として受信する。 Next, the first circuit 43 uses the frequency of the first oscillation signal SG1 generated based on the oscillation of the first oscillator 18 and the third oscillation signal generated based on the oscillation of the second oscillator 71 included in the ECU 21. The difference from the frequency of SG3 is detected (step S11). Specifically, the in-vehicle device 10 and the ECU 21 are operated, and, for example, a test signal in which the third oscillation signal SG3 and the data signal are superimposed is transmitted from the ECU 21 to the in-vehicle device 10 via the communication line 31. do. The in-vehicle device 10 receives the test signal as a reception signal RS1.

受信信号RS1はスイッチ部13の第1ポート13aを介して、CDR回路42に入力される。CDR回路42において受信信号RS1から第3発振信号SG3が抽出され、第3発振信号SG3は第1回路43(PFD回路)に入力される。また、第1発振器18の発振に基づいて発振回路41において生成された第1発振信号SG1も第1回路43に入力される。第1回路43は、第1発振信号SG1の周波数と、第3発振信号SG3の周波数とを比較し、その周波数差をパルス波として第2回路44へ出力する。以上により、ステップS11が終了する。 The received signal RS1 is input to the CDR circuit 42 via the first port 13a of the switch section 13. A third oscillation signal SG3 is extracted from the received signal RS1 in the CDR circuit 42, and the third oscillation signal SG3 is input to the first circuit 43 (PFD circuit). Further, the first oscillation signal SG1 generated in the oscillation circuit 41 based on the oscillation of the first oscillator 18 is also input to the first circuit 43. The first circuit 43 compares the frequency of the first oscillation signal SG1 and the frequency of the third oscillation signal SG3, and outputs the frequency difference to the second circuit 44 as a pulse wave. With the above steps, step S11 ends.

続いて、第2回路44は周波数の差分を検出値Vxに変換する(ステップS12からステップS14まで)。具体的には、CP回路45が周波数の差分を電流値に変換し(ステップS12)、フィルタ回路46が電流値を電圧値に変換し(ステップS13)、AD変換回路47が電圧値をデジタル値に変換する(ステップS14)。 Subsequently, the second circuit 44 converts the frequency difference into a detected value Vx (from step S12 to step S14). Specifically, the CP circuit 45 converts the frequency difference into a current value (step S12), the filter circuit 46 converts the current value into a voltage value (step S13), and the AD conversion circuit 47 converts the voltage value into a digital value. (Step S14).

最後に、制御部15が記憶部16に検出値Vxを正常値V1として記憶させる(ステップS15)。具体的には、AD変換回路47がデジタル値を検出値Vxとして制御部15に出力する。制御部15は、入力された検出値Vxを記憶部16に正常値V1として記憶させる。以上により、ステップS15が終了する。 Finally, the control unit 15 causes the storage unit 16 to store the detected value Vx as the normal value V1 (step S15). Specifically, the AD conversion circuit 47 outputs the digital value to the control unit 15 as the detected value Vx. The control unit 15 causes the storage unit 16 to store the input detection value Vx as a normal value V1. With the above steps, step S15 ends.

図5及び図6を参照する。不正侵入の検出は、例えば車載装置10の電源がオンになったときに実行される。なお、不正侵入の検出は、例えば車載装置10の電源がオンとなっている間、定期的に実行されてもよいし、車両9の搭乗者の操作に基づいて実行されてもよい。図6では、例えば車両9の出荷後である時刻X2及び時刻X3に不正侵入の検出が実行される。 Please refer to FIGS. 5 and 6. Detection of unauthorized intrusion is performed, for example, when the in-vehicle device 10 is powered on. Incidentally, detection of unauthorized intrusion may be performed periodically while the power of the in-vehicle device 10 is on, for example, or may be performed based on an operation by a passenger of the vehicle 9. In FIG. 6, detection of unauthorized intrusion is executed, for example, at time X2 and time X3 after the vehicle 9 is shipped.

不正侵入の検出では、はじめに、制御部15の制御指令により、スイッチ部13が第1状態に切り換えられる(ステップS20)。これにより、通信線31から受信される受信信号RS1は、スイッチ部13を介して検出回路14に入力される。 In detecting unauthorized intrusion, first, the switch section 13 is switched to the first state by a control command from the control section 15 (step S20). Thereby, the reception signal RS1 received from the communication line 31 is input to the detection circuit 14 via the switch section 13.

次に、第1回路43が、第1発振信号SG1の周波数と、通信線31から受信される受信信号RS1に含まれる第2発振信号SG2の周波数との差分を検出する(ステップS21)。 Next, the first circuit 43 detects the difference between the frequency of the first oscillation signal SG1 and the frequency of the second oscillation signal SG2 included in the reception signal RS1 received from the communication line 31 (step S21).

具体的には、車載装置10は通信線31から受信信号RS1を受信する。ここで、受信信号RS1は、ステップS21の時点では、図1に示すようにECU21から発される信号(正規の信号)であるか、図2に示すように不正なハブH1から発される信号(不正な信号)であるか、不明である。 Specifically, the in-vehicle device 10 receives the reception signal RS1 from the communication line 31. Here, at the time of step S21, the received signal RS1 is either a signal (regular signal) emitted from the ECU 21 as shown in FIG. 1, or a signal emitted from the unauthorized hub H1 as shown in FIG. (illegal signal) or unknown.

受信信号RS1はCDR回路42に入力される。CDR回路42において受信信号RS1から第2発振信号SG2が抽出され、第2発振信号SG2は第1回路43に入力される。また、第1発振信号SG1も第1回路43に入力される。第1回路43は、第1発振信号SG1の周波数と、第2発振信号SG2の周波数とを比較し、その周波数差をパルス波として第2回路44へ出力する。以上により、ステップS21が終了する。 The received signal RS1 is input to the CDR circuit 42. A second oscillation signal SG2 is extracted from the received signal RS1 in the CDR circuit 42, and the second oscillation signal SG2 is input to the first circuit 43. Further, the first oscillation signal SG1 is also input to the first circuit 43. The first circuit 43 compares the frequency of the first oscillation signal SG1 and the frequency of the second oscillation signal SG2, and outputs the frequency difference to the second circuit 44 as a pulse wave. With the above steps, step S21 ends.

続いて、第2回路44は周波数の差分を検出値Vxに変換する(ステップS22からステップS24まで)。具体的には、CP回路45が周波数の差分を電流値に変換し(ステップS22)、フィルタ回路46が電流値を電圧値に変換し(ステップS23)、AD変換回路47が電圧値をデジタル値に変換する(ステップS24)。AD変換回路47は、デジタル値を検出値Vxとして制御部15に出力する。 Subsequently, the second circuit 44 converts the frequency difference into a detected value Vx (from step S22 to step S24). Specifically, the CP circuit 45 converts the frequency difference into a current value (step S22), the filter circuit 46 converts the current value into a voltage value (step S23), and the AD conversion circuit 47 converts the voltage value into a digital value. (Step S24). The AD conversion circuit 47 outputs the digital value to the control unit 15 as a detected value Vx.

次に、制御部15が、検出値Vxが所定の範囲内であるか否かを監視する(ステップS25)。ここで、受信信号RS1に含まれる第2発振信号SG2がECU21に含まれる第2発振器71に基づく信号であれば、第2発振信号SG2の周波数は第3発振信号SG3の周波数と例えば±2ppm以内の範囲でほぼ等しくなる。一方、第2発振信号SG2がハブH1に含まれる第3発振器H2に基づく信号であれば、偶然に一致する場合を除いて、ほとんどの場合、第2発振信号SG2の周波数は第3発振信号SG3の周波数と相違する。 Next, the control unit 15 monitors whether the detected value Vx is within a predetermined range (step S25). Here, if the second oscillation signal SG2 included in the received signal RS1 is a signal based on the second oscillator 71 included in the ECU 21, the frequency of the second oscillation signal SG2 is within ±2 ppm of the frequency of the third oscillation signal SG3. are approximately equal within the range of . On the other hand, if the second oscillation signal SG2 is a signal based on the third oscillator H2 included in the hub H1, in most cases, the frequency of the second oscillation signal SG2 will be the same as that of the third oscillation signal SG3, unless they coincide by chance. The frequency differs from that of

ステップS25では、検出値Vx(すなわち、第1発振信号SG1と第2発振信号SG2の差分に応じた値)が、正常値V1(すなわち、第1発振信号SG1と第3発振信号SG3の差分に応じた値)からどれだけ相違するかを監視する。そして、所定値を超えて相違する場合、第2発振信号SG2は第2発振器71に起因する信号ではないと考えられるため、不正侵入と判定する。 In step S25, the detected value Vx (i.e., the value according to the difference between the first oscillation signal SG1 and the second oscillation signal SG2) is changed to the normal value V1 (i.e., the difference between the first oscillation signal SG1 and the third oscillation signal SG3). monitor how much it differs from the corresponding value). If the difference exceeds a predetermined value, it is considered that the second oscillation signal SG2 is not a signal caused by the second oscillator 71, and therefore, it is determined that unauthorized intrusion has occurred.

具体的には、制御部15は、入力された検出値Vxと、記憶部16に記憶されている正常値V1とを比較する。例えば、制御部15は、検出値Vxと正常値V1の差分の絶対値(|Vx-V1|)を算出する。 Specifically, the control unit 15 compares the input detection value Vx with the normal value V1 stored in the storage unit 16. For example, the control unit 15 calculates the absolute value of the difference between the detected value Vx and the normal value V1 (|Vx−V1|).

制御部15は、検出値Vxが正常値V1から所定値(マージン値α)を超えて相違する場合に(ステップS25のNO)、通信線31に不正な侵入があることを判定する(ステップS26:侵入判定)。例えば、制御部15は、検出値Vxと正常値V1の差分の絶対値がマージン値αを超える場合に(|Vx-V1|>α)、侵入判定を行う。 If the detected value Vx differs from the normal value V1 by more than a predetermined value (margin value α) (NO in step S25), the control unit 15 determines that there is an unauthorized intrusion into the communication line 31 (step S26). : Intrusion judgment). For example, the control unit 15 performs the intrusion determination when the absolute value of the difference between the detected value Vx and the normal value V1 exceeds the margin value α (|Vx−V1|>α).

ここで、マージン値αは、車載装置10において要求される不正侵入の検出精度に応じて適宜に設定される。マージン値αを小さく設定すればするほど、不正侵入を検出しやすくなる一方で、後述する温度等の影響によって、不正侵入がない場合であっても検出値Vxが正常値V1からマージン値αを超えて相違しやすくなり、誤判定の可能性が増える。また、マージン値αを大きく設定すればするほど、誤判定の可能性は減る一方で、不正侵入を見過ごしやすくなる。マージン値αは、例えば2ppm以下の値に設定される。 Here, the margin value α is appropriately set according to the detection accuracy of unauthorized intrusion required of the in-vehicle device 10. The smaller the margin value α is set, the easier it is to detect unauthorized intrusion, but due to the effects of temperature, etc., which will be described later, the detected value Vx may fall below the margin value α from the normal value V1 even when there is no unauthorized intrusion. This increases the possibility of misjudgment. Furthermore, the larger the margin value α is set, the lower the possibility of misjudgment, but the easier it is to overlook unauthorized intrusion. The margin value α is set to a value of 2 ppm or less, for example.

侵入判定を行った場合、制御部15はスイッチ部13を第1状態に維持することで、PHY部11aに受信信号RS1が入力されることを防止する。また、制御部15は、図示省略する表示部(例えばディスプレイ)に不正侵入がなされていることを通知する表示を実行させてもよい。例えば、制御部15は、表示部に「不正な侵入が検出されました」等のテキストを表示させてもよい。 When an intrusion determination is made, the control unit 15 prevents the reception signal RS1 from being input to the PHY unit 11a by maintaining the switch unit 13 in the first state. Further, the control unit 15 may cause a display unit (for example, a display), which is not shown, to display a message notifying that unauthorized intrusion has occurred. For example, the control unit 15 may display text such as “Unauthorized intrusion has been detected” on the display unit.

一方、検出値Vxが正常値V1から所定値(マージン値α)以内である場合(ステップS25のYES)、制御部15は侵入判定を行わず、スイッチ部13を第2状態に切り換える(ステップS27)。例えば、制御部15は、検出値Vxと正常値V1の差分の絶対値がマージン値α以下である場合に(|Vx-V1|≦α)、ステップS27を実行する。これにより、PHY部11aは受信信号RS1を受信し、PHY部11aにおいて受信信号RS1がデジタル信号DS1に変換されることで、処理装置12がデジタル信号DS1を受信する(ステップS28)。 On the other hand, if the detected value Vx is within the predetermined value (margin value α) from the normal value V1 (YES in step S25), the control unit 15 does not perform the intrusion determination and switches the switch unit 13 to the second state (step S27). ). For example, the control unit 15 executes step S27 when the absolute value of the difference between the detected value Vx and the normal value V1 is less than or equal to the margin value α (|Vx−V1|≦α). Thereby, the PHY unit 11a receives the received signal RS1, and the PHY unit 11a converts the received signal RS1 into a digital signal DS1, so that the processing device 12 receives the digital signal DS1 (step S28).

ステップS28の後、処理装置12は、デジタル信号DS1に基づいて、ECU21と通信する等の各種の制御を実行する。以上により、不正侵入の検出が終了する。 After step S28, the processing device 12 executes various controls such as communicating with the ECU 21 based on the digital signal DS1. With the above steps, detection of unauthorized intrusion is completed.

図6の例では、時刻X2において、検出値Vxは値V1となる(Vx=V1)。検出値Vxは正常値V1からマージン値α以内の値であるため、時刻X2において不正侵入は検出されない。この場合、制御部15はスイッチ部13を第1状態から第2状態に切り替える。 In the example of FIG. 6, the detected value Vx becomes the value V1 at time X2 (Vx=V1). Since the detected value Vx is within the margin value α from the normal value V1, no unauthorized intrusion is detected at time X2. In this case, the control section 15 switches the switch section 13 from the first state to the second state.

一方、時刻X3において、検出値Vxは値V2となる(Vx=V2)。検出値Vxは正常値V1からマージン値αを超えて相違する値であるため、時刻X3において不正侵入が検出される。この場合、制御部15はスイッチ部13を第1状態に維持する。 On the other hand, at time X3, the detected value Vx becomes the value V2 (Vx=V2). Since the detected value Vx differs from the normal value V1 by more than the margin value α, unauthorized intrusion is detected at time X3. In this case, the control section 15 maintains the switch section 13 in the first state.

不正端末D1及びハブH1では、ECU21の通信シーケンス等を模倣することはできても、ECU21の第2発振器71に起因する第3発振信号SG3を模倣することができない。このため、車載装置10において受信される第2発振信号SG2の周波数が、ECU21の第3発振信号SG3の周波数に相当するか否かを判断することで、より確実に不正侵入を検出することができる。 Although the unauthorized terminal D1 and the hub H1 can imitate the communication sequence of the ECU 21, they cannot imitate the third oscillation signal SG3 caused by the second oscillator 71 of the ECU 21. Therefore, by determining whether the frequency of the second oscillation signal SG2 received by the in-vehicle device 10 corresponds to the frequency of the third oscillation signal SG3 of the ECU 21, unauthorized intrusion can be detected more reliably. can.

また、車載装置10において、不正侵入が判定されている間は、スイッチ部13を第1状態に維持することで、受信信号RS1をPHY部11aに入力しない。これにより、不正侵入が無いときに限って、受信信号RS1をPHY部11aに入力することができるため、不正な受信信号RS1がPHY部11aに入力されることを防止することができる。 Further, in the vehicle-mounted device 10, while unauthorized intrusion is being determined, the switch unit 13 is maintained in the first state so that the received signal RS1 is not input to the PHY unit 11a. Thereby, the received signal RS1 can be input to the PHY section 11a only when there is no unauthorized intrusion, so it is possible to prevent the unauthorized received signal RS1 from being input to the PHY section 11a.

また、不正侵入が判定されている間は、PHY部11aへの受信信号RS1の入力が防止されるため、PHY部11aをスリープ状態等の省電力状態に保つことができ、車載装置10の電力消費を抑制することができる。 Furthermore, while unauthorized intrusion is being determined, input of the received signal RS1 to the PHY unit 11a is prevented, so the PHY unit 11a can be kept in a power-saving state such as a sleep state, and the power of the on-vehicle device 10 is Consumption can be controlled.

さらに、不正侵入の判定を、PHY部11aの外部に設けられている検出回路14及び制御部15において実行するため、PHY部11aとしては汎用的なPHY部を用いることができる。このため、不正侵入の判定のために、専用のPHY部を製造する必要がないため、PHY部の製造コストを低減することができる。特に、車載装置10には複数のPHY部が設けられるため、PHY部の製造コストを低減することで、車載装置10の製造コストを低減することができる。 Furthermore, since the detection circuit 14 and the control unit 15 provided outside the PHY unit 11a determine whether or not there is an unauthorized intrusion, a general-purpose PHY unit can be used as the PHY unit 11a. Therefore, there is no need to manufacture a dedicated PHY unit for determining unauthorized intrusion, and the manufacturing cost of the PHY unit can be reduced. In particular, since the vehicle-mounted device 10 is provided with a plurality of PHY sections, the manufacturing cost of the vehicle-mounted device 10 can be reduced by reducing the manufacturing cost of the PHY section.

[2.変形例]
以下、実施形態の変形例について説明する。変形例において、上記の実施形態と同じ構成については同じ符号を付して説明を省略する。 [2. Modified example]
Modifications of the embodiment will be described below. In the modified example, the same components as those in the above embodiment are given the same reference numerals, and the description thereof will be omitted.

[2.1 温度特性に応じた正常値の補正]
図7は、発振器の温度特性を例示するグラフである。図7の横軸は摂氏温度を示し、図7の縦軸は摂氏25度における発振器の周波数を基準とする、各温度における発振器の周波数偏差(Δf/f)を示している。 [2.1 Correction of normal values according to temperature characteristics]
FIG. 7 is a graph illustrating the temperature characteristics of the oscillator. The horizontal axis of FIG. 7 shows the temperature in degrees Celsius, and the vertical axis of FIG. 7 shows the frequency deviation (Δf/f) of the oscillator at each temperature, based on the frequency of the oscillator at 25 degrees Celsius.

図7に示すように、水晶振動子等の発振器が振動する周波数は、温度によって変化することが知られている。例えば、摂氏25度よりも温度が高くなると、発振器の周波数は徐々に遅くなり、極小値を経た後に徐々に速くなる傾向がある。また、摂氏25度よりも温度が低くなると、発振器の周波数は徐々に速くなり、極大値を経たあとに徐々に遅くなる傾向がある。 As shown in FIG. 7, it is known that the frequency at which an oscillator such as a crystal resonator vibrates changes depending on the temperature. For example, as the temperature rises above 25 degrees Celsius, the oscillator frequency tends to slow down gradually, and then gradually speed up after passing through a minimum value. Further, when the temperature becomes lower than 25 degrees Celsius, the frequency of the oscillator tends to gradually increase, and after reaching a maximum value, gradually slow down.

このため、例えば上記の正常値V1の記憶(ステップS11からS15まで)を摂氏25度の環境下にて実行した場合に、不正侵入の検出(ステップS21からステップS25)を摂氏40度(例えば、夏季)の環境下にて実行すると、車載装置10に含まれる第1発振器18及びECU21に含まれる第2発振器71の周波数が正常値V1を記憶した際のそれぞれの周波数よりも遅くなる。周波数が遅くなる程度は、第1発振器18と第2発振器71とで異なる。 For this reason, for example, when storing the above normal value V1 (steps S11 to S15) is performed in an environment of 25 degrees Celsius, detection of unauthorized intrusion (steps S21 to S25) is performed at 40 degrees Celsius (for example, When executed in a summer environment, the frequencies of the first oscillator 18 included in the vehicle-mounted device 10 and the second oscillator 71 included in the ECU 21 become slower than the respective frequencies when the normal value V1 is stored. The degree to which the frequency is slowed differs between the first oscillator 18 and the second oscillator 71.

このため、正常値V1を記憶した際の温度とは異なる温度において不正侵入を検出する場合に、マージン値αをより小さく設定すると(例えば、0.5ppm)、第2発振器71の発振に基づく第2発振信号SG2であるのにもかかわらず(すなわち、不正侵入がないのにもかかわらず)、検出値Vxが正常値V1からマージン値αを超えて相違することで、侵入判定(ステップS26)がなされるおそれがある。 Therefore, when detecting unauthorized intrusion at a temperature different from the temperature at which the normal value V1 was stored, if the margin value α is set smaller (for example, 0.5 ppm), the Despite the fact that the signal is a two-oscillation signal SG2 (that is, there is no unauthorized intrusion), the detected value Vx differs from the normal value V1 by more than the margin value α, so that the intrusion is determined (step S26). There is a risk that this may occur.

このような誤判定を防ぐために、マージン値αを大きく設定してもよい。しかしながら、マージン値αを大きく設定すると、不正なハブH1の第3発振器H2の発振に基づく第2発振信号SG2に応じた検出値Vxが、偶然にも正常値V1に対してマージン値αの範囲内となる可能性が高くなり、不正侵入を見過ごしてしまうおそれが高くなる。 In order to prevent such misjudgment, the margin value α may be set large. However, if the margin value α is set to a large value, the detected value Vx corresponding to the second oscillation signal SG2 based on the oscillation of the third oscillator H2 of the unauthorized hub H1 coincidentally falls within the range of the margin value α with respect to the normal value V1. This increases the possibility that the unauthorized intrusion will be overlooked.

そこで、本変形例では、第1発振器18及び第2発振器71のうち少なくとも一方の温度を検出する温度センサの検出温度に応じて正常値V1を決定する。これにより、温度変化に起因する発振器の周波数偏差を補償する。 Therefore, in this modification, the normal value V1 is determined according to the temperature detected by a temperature sensor that detects the temperature of at least one of the first oscillator 18 and the second oscillator 71. This compensates for oscillator frequency deviations due to temperature changes.

具体的には、温度センサ19(図3)により第1発振器18の温度を検出する。車載システム1は車両9に搭載されているシステムであるため、第2発振器71の温度は、温度センサ19の検出温度と同程度になると考えられる。このため、本変形例では、第1発振器18を含む車載システム1全体の温度を温度センサ19により検出する。なお、第1発振器18及び第2発振器71にそれぞれ異なる温度センサを設けてもよいし、第2発振器71の付近にのみ温度センサを設けてもよい。 Specifically, the temperature of the first oscillator 18 is detected by the temperature sensor 19 (FIG. 3). Since the in-vehicle system 1 is a system mounted on the vehicle 9, the temperature of the second oscillator 71 is considered to be approximately the same as the temperature detected by the temperature sensor 19. Therefore, in this modification, the temperature of the entire in-vehicle system 1 including the first oscillator 18 is detected by the temperature sensor 19. Note that different temperature sensors may be provided for the first oscillator 18 and the second oscillator 71, or a temperature sensor may be provided only near the second oscillator 71.

図8は、変形例に係る正常値と温度の関係を例示するテーブルである。図8のテーブルは、記憶部16に記憶されている。図8において、テーブルの一列目は温度の範囲を示し、テーブルの二列目は温度範囲に対応する正常値を示している。図8のテーブルは、例えば出荷前の車載システム1において様々な温度条件にて試験を行うことにより取得される。 FIG. 8 is a table illustrating the relationship between normal values and temperature according to a modification. The table in FIG. 8 is stored in the storage unit 16. In FIG. 8, the first column of the table shows the temperature range, and the second column of the table shows normal values corresponding to the temperature range. The table in FIG. 8 is obtained, for example, by testing the in-vehicle system 1 under various temperature conditions before shipment.

例えば、温度センサ19の検出温度Txが第1温度T1以下である場合、制御部15は記憶部16から1行目の正常値を読み出して、正常値を「V11」に決定する。また、温度センサ19の検出温度Txが第1温度T1を超え、かつ第2温度T2以下である場合、制御部15は記憶部16から2行目の正常値を読み出して、正常値をV11とは異なる「V12」に決定する。そして、温度センサ19の検出温度Txが第2温度T2を超え、かつ第3温度T3以下である場合、制御部15は記憶部16から3行目の正常値を読み出して、正常値をV11及びV12とは異なる「V13」に決定する。 For example, when the detected temperature Tx of the temperature sensor 19 is lower than the first temperature T1, the control unit 15 reads the normal value in the first row from the storage unit 16 and determines the normal value to be “V11”. Further, when the detected temperature Tx of the temperature sensor 19 exceeds the first temperature T1 and is below the second temperature T2, the control unit 15 reads the normal value on the second line from the storage unit 16, and sets the normal value as V11. is determined to be a different "V12". Then, when the detected temperature Tx of the temperature sensor 19 exceeds the second temperature T2 and is below the third temperature T3, the control unit 15 reads the normal value in the third row from the storage unit 16, and sets the normal value to V11 and "V13", which is different from V12, is determined.

このように、記憶部16に記憶されているテーブルと、検出温度Txとに基づいて、制御部15は正常値を決定する。これにより、温度変化に起因する第1発振器18及び第2発振器71の周波数偏差を補償することができるため、例えばマージン値αをより小さく設定しても誤判定がなされることを抑制することができる。これにより、誤判定を抑制しつつ、不正侵入を見過ごすおそれの低いマージン値αに設定することができるため、不正侵入をより確実に検出することができる。 In this way, the control unit 15 determines the normal value based on the table stored in the storage unit 16 and the detected temperature Tx. As a result, it is possible to compensate for the frequency deviation of the first oscillator 18 and the second oscillator 71 caused by temperature changes, and therefore it is possible to suppress false determinations even if the margin value α is set smaller, for example. can. As a result, it is possible to set a margin value α that is less likely to overlook unauthorized intrusion while suppressing erroneous determinations, so that unauthorized intrusion can be detected more reliably.

[2.2 エージング特性に応じた正常値の補正]
図9は、発振器のエージング特性(経年特性)を例示するグラフである。図9の横軸は経過日数を対数で示し、図9の縦軸は1日目における発振器の周波数を基準とする、各時点における発振器の周波数偏差(Δf/f)を示している。 [2.2 Correction of normal values according to aging characteristics]
FIG. 9 is a graph illustrating the aging characteristics (aging characteristics) of the oscillator. The horizontal axis of FIG. 9 shows the number of elapsed days in a logarithmic manner, and the vertical axis of FIG. 9 shows the frequency deviation (Δf/f) of the oscillator at each point in time based on the oscillator frequency on the first day.

図9に示すように、水晶振動子等の発振器が振動する周波数は、経年により変化することが知られている。図9では、経年により、発振器に不純物が付着することで、発振器の周波数が徐々に小さくなる(振動が徐々に遅くなる)例を示している。但し、発振器の特性によっては、例えば経年により、発振器からガスが放出されることで、発振器の周波数が徐々に大きくなり、ある経過日数において極大値を経たあと、周波数が徐々に小さくなる場合もある。 As shown in FIG. 9, it is known that the frequency at which an oscillator such as a crystal oscillator vibrates changes over time. FIG. 9 shows an example in which the frequency of the oscillator gradually decreases (the vibration gradually slows down) due to impurities attached to the oscillator over time. However, depending on the characteristics of the oscillator, for example due to age, the oscillator's frequency may gradually increase as gas is released from the oscillator, and after reaching a maximum value over a certain number of days, the frequency may gradually decrease. .

このため、例えば上記の正常値V1の記憶(ステップS11からS15まで)を経過日数の浅い環境下(例えば、10日)にて実行した場合に、不正侵入の検出(ステップS21からステップS25)を例えばその1000日後に実行すると、第1発振器18及び第2発振器71の周波数が正常値V1を記憶した際のそれぞれの周波数から相違していることに起因して、不正侵入がないのにもかかわらず、検出値Vxが正常値V1からマージン値αを超えて相違し、侵入判定(ステップS26)がなされるおそれがある。 For this reason, for example, when storing the above normal value V1 (steps S11 to S15) is executed in an environment where the number of days elapsed is short (for example, 10 days), the detection of unauthorized intrusion (steps S21 to S25) is For example, when executed 1000 days later, the frequencies of the first oscillator 18 and the second oscillator 71 are different from the respective frequencies when the normal value V1 was stored, so even though there is no unauthorized access, First, there is a possibility that the detected value Vx differs from the normal value V1 by more than the margin value α, and an intrusion determination (step S26) will be made.

そこで、本変形例では、第1発振器18及び第2発振器71のエージング特性を加味するために、車載装置10に記憶されている正常値V1を管理者の操作によって更新可能とする。これにより、経年変化に起因する発振器の周波数偏差を補償する。 Therefore, in this modification, in order to take into account the aging characteristics of the first oscillator 18 and the second oscillator 71, the normal value V1 stored in the on-vehicle device 10 can be updated by the administrator's operation. This compensates for oscillator frequency deviations due to aging.

例えば、車両9の所有者は、車両9の点検のために、定期的に車両点検を行う事業者(例えば、ディーラー)に車両9を持ち込む。事業者は、例えば車載システム1の製造者から車載システム1の管理権限を付与された管理者であり、正常値V1を上書きするためのキーを保持している。キーは、例えばハード的に車載装置10に差し込まれるキーであってもよいし、ソフト的に車載装置10に入力されるキーであってもよい。 For example, the owner of the vehicle 9 brings the vehicle 9 to a business (for example, a dealer) that regularly performs vehicle inspections for inspection. The business operator is, for example, an administrator who has been granted management authority for the in-vehicle system 1 by the manufacturer of the in-vehicle system 1, and holds a key for overwriting the normal value V1. The key may be, for example, a key that is inserted into the vehicle-mounted device 10 using hardware, or a key that is input into the vehicle-mounted device 10 using software.

例えば、制御部15は、第1モードと第2モードとを含む複数の動作モードを選択可能となっている。通常時において、制御部15の動作モードとしては、第2モードが選択されている。第2モードが選択されている場合、制御部15は、記憶部16に記憶されている正常値V1を変更できない。管理者によって、車載装置10にキーが入力されている場合に限り、制御部15は第1モードを選択可能となる。 For example, the control unit 15 is capable of selecting a plurality of operation modes including a first mode and a second mode. In normal times, the second mode is selected as the operating mode of the control unit 15. When the second mode is selected, the control unit 15 cannot change the normal value V1 stored in the storage unit 16. Only when a key is input into the vehicle-mounted device 10 by the administrator, the control unit 15 can select the first mode.

第1モードが選択されている場合に、管理者が図示省略する入力部(例えば、キーボード)によって制御部15へ正常値V1の更新を指示すると、制御部15は、図4に示す正常値V1の記憶を実行する。そして、制御部15は、記憶部16に記憶されている正常値V1を、第1モードが選択されている間に検出回路14から出力される検出値Vxに変更する。 When the first mode is selected, when the administrator instructs the control unit 15 to update the normal value V1 using an input unit (for example, a keyboard, not shown), the control unit 15 updates the normal value V1 shown in FIG. Execute the memory of. Then, the control unit 15 changes the normal value V1 stored in the storage unit 16 to the detection value Vx output from the detection circuit 14 while the first mode is selected.

例えば、車両9の1年目点検(図9の時点X11)の際に、管理者は正常値V1を新たな値に更新する。また、車両9の3年目点検(図9の時点X12)及び5年目点検(図9の時点X13)の際にも、管理者はそれぞれ正常値を更新する。これにより、経年変化に起因する発振器の周波数偏差を補償することができるため、温度補償の場合と同様に、誤判定を抑制しつつ、不正侵入を見過ごすおそれの低いマージン値αに設定することができる。この結果、不正侵入をより確実に検出することができる。 For example, during the first year inspection of the vehicle 9 (time point X11 in FIG. 9), the administrator updates the normal value V1 to a new value. The manager also updates the normal values at the third-year inspection (time X12 in FIG. 9) and fifth-year inspection (time X13 in FIG. 9) of the vehicle 9, respectively. As a result, it is possible to compensate for the frequency deviation of the oscillator caused by secular changes, so as in the case of temperature compensation, it is possible to set the margin value α to a value that suppresses false judgments and has a low risk of overlooking unauthorized intrusion. can. As a result, unauthorized intrusion can be detected more reliably.

[2.3 発振器の温度を意図的に変更]
上記の実施形態では、ECU21に含まれる第2発振器71と、不正なハブH1に含まれる第3発振器H2とが、ハード的に相違することを利用して、不正侵入を検出する。しかしながら、偶然にも、第2発振器71の周波数と、第3発振器H2の周波数とが一致する場合、不正侵入を検出できないおそれがある。 [2.3 Intentionally changing the oscillator temperature]
In the embodiment described above, unauthorized intrusion is detected by utilizing the fact that the second oscillator 71 included in the ECU 21 and the third oscillator H2 included in the unauthorized hub H1 are different in terms of hardware. However, if by chance the frequency of the second oscillator 71 and the frequency of the third oscillator H2 match, there is a possibility that unauthorized intrusion cannot be detected.

そこで、本変形例では、意図的に第2発振器71の温度を変更し、温度変更後の検出値Vxが温度補償をした正常値V4からマージン値αを超えて相違する場合に、不正侵入を検出する。 Therefore, in this modification, the temperature of the second oscillator 71 is intentionally changed, and if the detected value Vx after the temperature change differs by more than the margin value α from the normal value V4 for which temperature compensation has been performed, unauthorized intrusion is prevented. To detect.

図10は、変形例に係る車載システム1aの構成を示す図である。車載システム1aでは、ECU21に、第2発振器71の温度を調整する温度調整部72と、第2発振器71の温度を検出する温度センサ73とが含まれている点で、図1の車載システム1と相違する。また、本変形例において、制御部15は、温度調整部72に対して指令信号を発することで、温度調整部72を制御する。 FIG. 10 is a diagram showing the configuration of an in-vehicle system 1a according to a modification. The in-vehicle system 1a differs from the in-vehicle system 1 in FIG. It differs from Further, in this modification, the control section 15 controls the temperature adjustment section 72 by issuing a command signal to the temperature adjustment section 72.

温度調整部72は、例えば加熱のみ可能な抵抗ヒータ等の加熱部である。なお、温度調整部72は、加熱及び冷却の両方を実行可能であってもよい。この場合、温度調整部72は、例えばペルチェ素子である。 The temperature adjustment section 72 is, for example, a heating section such as a resistance heater that can only perform heating. Note that the temperature adjustment unit 72 may be able to perform both heating and cooling. In this case, the temperature adjustment section 72 is, for example, a Peltier element.

図11は、変形例に係る検出値Vxを例示するグラフである。本変形例において、正常値は温度補償がなされる。例えば摂氏25度における正常値は「V1」に、摂氏25度よりも高い第1の所定温度T4における正常値は「V4」に、第1の所定温度T4よりも高い第2の所定温度T5における正常値は「V5」に決定される。 FIG. 11 is a graph illustrating the detected value Vx according to the modified example. In this modification, the normal value is temperature compensated. For example, the normal value at 25 degrees Celsius is "V1", the normal value at the first predetermined temperature T4 higher than 25 degrees Celsius is "V4", and the normal value at the second predetermined temperature T5 higher than the first predetermined temperature T4 The normal value is determined to be "V5".

例えば、検出環境が摂氏25度である場合を考える。はじめに制御部15が温度調整部72に指示を行わない状態(すなわち、第2発振器71が摂氏25度である状態)で、車載装置10が不正侵入の検出を実行する。この場合、検出値Vxとして例えば正常値V1と同じ値が検出されれば、不正侵入は検出されない。 For example, consider a case where the detection environment is 25 degrees Celsius. First, in a state where the control unit 15 does not issue an instruction to the temperature adjustment unit 72 (that is, a state where the second oscillator 71 is at 25 degrees Celsius), the in-vehicle device 10 detects unauthorized intrusion. In this case, if the same value as the normal value V1 is detected as the detection value Vx, for example, no unauthorized intrusion is detected.

摂氏25度において、不正侵入が検出されない場合、第2発振器71の周波数と第3発振器H2の周波数とが偶然一致しているおそれがある。このため、次に、制御部15は温度調整部72に指示を行い、第2発振器71の温度を第1の所定温度T4に調整する。そして、第2発振器71の温度が第1の所定温度T4となっている時刻X4において、車載装置10は、不正侵入の検出を再度実行する。 If no unauthorized intrusion is detected at 25 degrees Celsius, there is a possibility that the frequency of the second oscillator 71 and the frequency of the third oscillator H2 coincidentally match. Therefore, next, the control unit 15 instructs the temperature adjustment unit 72 to adjust the temperature of the second oscillator 71 to the first predetermined temperature T4. Then, at time X4 when the temperature of the second oscillator 71 reaches the first predetermined temperature T4, the in-vehicle device 10 detects unauthorized intrusion again.

具体的には、検出回路14が、第1発振信号SG1の周波数と、制御部15の指示により第2発振器71が第1の所定温度T4に調整されている間に受信される受信信号RS1に含まれる第2発振信号SG2の周波数と、の差分に応じた検出値Vxである第1の検出値Vx1を制御部15へ出力する。 Specifically, the detection circuit 14 uses the frequency of the first oscillation signal SG1 and the reception signal RS1 received while the second oscillator 71 is being adjusted to the first predetermined temperature T4 according to an instruction from the control unit 15. The first detected value Vx1, which is the detected value Vx corresponding to the difference between the frequency of the included second oscillation signal SG2, is output to the control unit 15.

そして、制御部15は、第1発振信号SG1の周波数と、第2発振器71が第1の所定温度T4に調整されている間に第2発振器71の発振に基づいて生成される第3発振信号SG3の周波数と、の差分に応じた正常値である第1の正常値V4から第1の検出値Vx1が所定値(マージン値α)を超えて相違する場合に、通信線31に不正侵入があることを判定する。 Then, the control unit 15 generates a third oscillation signal generated based on the frequency of the first oscillation signal SG1 and the oscillation of the second oscillator 71 while the second oscillator 71 is adjusted to the first predetermined temperature T4. If the first detected value Vx1 differs by more than a predetermined value (margin value α) from the first normal value V4, which is a normal value corresponding to the difference between the frequency of SG3 and determine something.

例えば、不正侵入がなされている場合、温度調整部72によって第2発振器71の温度が第1の所定温度T4に調整されても、不正なハブH1の第3発振器H2における温度は変更されないため、第1の検出値Vx1は「V1」となる。一方で、不正侵入がなされていない場合、第2発振器71の温度調整に伴い、第1の検出値Vx1は「V4」となる。このため、本変形例では、第1の検出値Vx1が、温度調整部72による温度調整に追従しない場合に、不正侵入を検出し、温度調整部72による温度調整に追従している場合に、不正侵入を検出しない。これにより、第2発振器71の周波数と第3発振器H2の周波数とが偶然一致する場合であっても、不正侵入を検出することができる。 For example, in the case of unauthorized intrusion, even if the temperature of the second oscillator 71 is adjusted to the first predetermined temperature T4 by the temperature adjustment unit 72, the temperature of the third oscillator H2 of the unauthorized hub H1 is not changed. The first detected value Vx1 becomes "V1". On the other hand, if there is no unauthorized intrusion, the first detected value Vx1 becomes "V4" as the temperature of the second oscillator 71 is adjusted. Therefore, in this modification, unauthorized intrusion is detected when the first detected value Vx1 does not follow the temperature adjustment by the temperature adjustment section 72, and when it follows the temperature adjustment by the temperature adjustment section 72, No intrusion detected. Thereby, even if the frequency of the second oscillator 71 and the frequency of the third oscillator H2 coincidentally match, unauthorized intrusion can be detected.

また、温度調整部72によって第2発振器71の温度をさらに第1の所定温度T4よりも高い第2の所定温度T5に変更した後の時刻X5において、車載装置10は、不正侵入の検出を再度実行してもよい。温度を複数回変更し、その都度、不正侵入の検出を実行することで、検出の精度をより高めることができる。 Further, at time X5 after the temperature adjustment unit 72 changes the temperature of the second oscillator 71 to a second predetermined temperature T5 higher than the first predetermined temperature T4, the in-vehicle device 10 detects unauthorized intrusion again. May be executed. By changing the temperature multiple times and detecting unauthorized intrusion each time, detection accuracy can be further improved.

具体的には、検出回路14が、第1発振信号SG1の周波数と、制御部15の指示により第2発振器71が第2の所定温度T5に調整されている間に受信される受信信号RS1に含まれる第2発振信号SG2の周波数と、の差分に応じた検出値Vxである第2の検出値Vx2を制御部15へ出力する。 Specifically, the detection circuit 14 uses the frequency of the first oscillation signal SG1 and the reception signal RS1 received while the second oscillator 71 is being adjusted to the second predetermined temperature T5 according to an instruction from the control unit 15. A second detected value Vx2, which is a detected value Vx corresponding to the difference between the frequency of the included second oscillation signal SG2, is output to the control unit 15.

そして、制御部15は、第1発振信号SG1の周波数と、第2発振器71が第2の所定温度T5に調整されている間に第2発振器71の発振に基づいて生成される第3発振信号SG3の周波数と、の差分に応じた正常値である第2の正常値V5から第2の検出値Vx2が所定値(マージン値α)を超えて相違する場合に、通信線31に不正侵入があることを判定する。 Then, the control unit 15 generates a third oscillation signal generated based on the frequency of the first oscillation signal SG1 and the oscillation of the second oscillator 71 while the second oscillator 71 is adjusted to the second predetermined temperature T5. If the second detected value Vx2 differs by more than a predetermined value (margin value α) from the second normal value V5, which is a normal value corresponding to the difference between the frequency of SG3 and determine something.

なお、第1の所定温度T4は摂氏25度より低い温度であってもよいし、第2の所定温度T5は第1の所定温度T4より低い温度であってもよい。 Note that the first predetermined temperature T4 may be lower than 25 degrees Celsius, and the second predetermined temperature T5 may be lower than the first predetermined temperature T4.

[3.補記]
なお、上記の実施形態及び各種の変形例については、その少なくとも一部を、相互に任意に組み合わせてもよい。また、今回開示された実施形態及び変形例はすべての点で例示であって制限的なものではないと考えられるべきである。本開示の範囲は特許請求の範囲によって示され、特許請求の範囲と均等の意味及び範囲内での全ての変更が含まれることが意図される。 [3. Addendum]
Note that at least some of the above embodiments and various modifications may be arbitrarily combined with each other. Furthermore, the embodiments and modifications disclosed herein are illustrative in all respects and should not be considered restrictive. The scope of the present disclosure is indicated by the claims, and it is intended that all changes within the meaning and range equivalent to the claims are included.

1 車載システム
1a 車載システム
10 車載装置
11 PHY部
12 処理装置
13 スイッチ部
13a 第1ポート
13b 第2ポート
14 検出回路
15 制御部
16 記憶部
17 読取部
17a 記録媒体
18 第1発振器
19 温度センサ
20 ECU
21 ECU
22 ECU
23 ECU
24 ECU
30 通信線
31 通信線
32 通信線
33 通信線
34 通信線
41 発振回路
42 抽出回路(CDR回路)
43 第1回路(PFD回路)
44 第2回路
45 CP回路
46 フィルタ回路
47 AD変換回路
71 第2発振器
72 温度調整部
73 温度センサ
9 車両
D1 不正端末
H1 ハブ(リピータハブ)
H2 発振器(第3発振器)
B1 バス
RS1 受信信号
SG1 第1発振信号
SG2 第2発振信号
SG3 発振信号(第3発振信号)
SGx 発振信号
DS1 デジタル信号
DS2 データ信号
Vx 検出値
Vx1 検出値(第1の検出値)
Vx2 検出値(第2の検出値)
V1 正常値
V4 正常値(第1の正常値)
V5 正常値(第2の正常値)
α マージン値
X1 時刻
X2 時刻
X3 時刻
X4 時刻
X5 時刻
X11 時点
X12 時点
X13 時点
T1 第1温度
T2 第2温度
T3 第3温度
T4 第1の所定温度
T5 第2の所定温度
Tx 検出温度
1 Vehicle-mounted system 1a Vehicle-mounted system 10 Vehicle-mounted device 11 PHY section 12 Processing device 13 Switch section 13a First port 13b Second port 14 Detection circuit 15 Control section 16 Storage section 17 Reading section 17a Recording medium 18 First oscillator 19 Temperature sensor 20 ECU
21 ECU
22 ECU
23 ECU
24 ECU
30 communication line 31 communication line 32 communication line 33 communication line 34 communication line 41 oscillation circuit 42 extraction circuit (CDR circuit)
43 First circuit (PFD circuit)
44 Second circuit 45 CP circuit 46 Filter circuit 47 AD conversion circuit 71 Second oscillator 72 Temperature adjustment section 73 Temperature sensor 9 Vehicle D1 Unauthorized terminal H1 Hub (repeater hub)
H2 oscillator (third oscillator)
B1 Bus RS1 Received signal SG1 First oscillation signal SG2 Second oscillation signal SG3 Oscillation signal (third oscillation signal)
SGx Oscillation signal DS1 Digital signal DS2 Data signal Vx Detected value Vx1 Detected value (first detected value)
Vx2 detection value (second detection value)
V1 Normal value V4 Normal value (first normal value)
V5 normal value (second normal value)
α Margin value X1 Time X2 Time X3 Time X4 Time X5 Time X11 Time X12 Time X13 Time T1 First temperature T2 Second temperature T3 Third temperature T4 First predetermined temperature T5 Second predetermined temperature Tx Detected temperature

Claims (9)

車両に搭載されるECUと通信線により接続されている車載装置であって、
前記通信線から受信される受信信号をデジタル信号に変換するPHY部と、
第1発振器の発振に基づいて第1発振信号を出力する発振回路と、
前記第1発振信号の周波数と、前記受信信号に含まれる第2発振信号の周波数と、の差分に応じた検出値を出力する検出回路と、
前記受信信号のうち少なくとも一部の信号を前記PHY部に入力しない第1状態と、前記受信信号を前記PHY部に入力する第2状態と、に切り換えるスイッチ部と、
前記スイッチ部を制御する制御部と、
を備え、
前記制御部は、
前記検出値が、前記第1発振信号の周波数と、前記ECUに含まれる第2発振器の発振に基づいて生成される第3発振信号の周波数と、の差分に応じた正常値から所定値を超えて相違する場合に、前記スイッチ部を前記第1状態とし、
前記検出値が、前記正常値から前記所定値以内である場合に、前記スイッチ部を前記第2状態とする、
車載装置。 An in-vehicle device connected to an ECU installed in a vehicle through a communication line,
a PHY unit that converts a received signal received from the communication line into a digital signal;
an oscillation circuit that outputs a first oscillation signal based on the oscillation of the first oscillator;
a detection circuit that outputs a detected value according to a difference between the frequency of the first oscillation signal and the frequency of a second oscillation signal included in the received signal;
a switch unit that switches between a first state in which at least some of the received signals are not input to the PHY unit and a second state in which the received signals are input to the PHY unit;
a control section that controls the switch section;
Equipped with
The control unit includes:
The detected value exceeds a predetermined value from a normal value according to a difference between the frequency of the first oscillation signal and the frequency of a third oscillation signal generated based on oscillation of a second oscillator included in the ECU. and when they are different, the switch section is set to the first state,
When the detected value is within the predetermined value from the normal value, the switch section is placed in the second state;
In-vehicle device. 前記検出回路は、
前記第1発振信号と前記第2発振信号とが入力され、前記第1発振信号の周波数と前記第2発振信号の周波数との差分を検出する第1回路と、
前記第1回路において検出された差分を前記検出値に変換する第2回路と、
を含む、
請求項1に記載の車載装置。 The detection circuit includes:
a first circuit into which the first oscillation signal and the second oscillation signal are input and detects a difference between the frequency of the first oscillation signal and the frequency of the second oscillation signal;
a second circuit that converts the difference detected in the first circuit into the detected value;
including,
The in-vehicle device according to claim 1. 前記受信信号は、前記第2発振信号とデータ信号とが重畳された信号であり、
前記検出回路は、前記受信信号から前記第2発振信号を抽出して、前記第1回路に出力する抽出回路をさらに含む、
請求項2に記載の車載装置。 The received signal is a signal in which the second oscillation signal and the data signal are superimposed,
The detection circuit further includes an extraction circuit that extracts the second oscillation signal from the received signal and outputs it to the first circuit.
The in-vehicle device according to claim 2. 前記正常値が予め記憶されている記憶部をさらに備える、
請求項1から請求項3のいずれか1項に記載の車載装置。 further comprising a storage unit in which the normal value is stored in advance;
The vehicle-mounted device according to any one of claims 1 to 3. 前記制御部は、第1モードと第2モードとを含む複数の動作モードを選択可能であり、
前記第1モードが選択されている場合、前記制御部は、前記記憶部に記憶されている前記正常値を、前記第1モードが選択されている間に前記検出回路から出力される前記検出値に変更し、
前記第2モードが選択されている場合、前記制御部は、前記記憶部に記憶されている前記正常値を変更しない、
請求項4に記載の車載装置。 The control unit is capable of selecting a plurality of operation modes including a first mode and a second mode,
When the first mode is selected, the control unit converts the normal value stored in the storage unit into the detected value output from the detection circuit while the first mode is selected. Change it to
When the second mode is selected, the control unit does not change the normal value stored in the storage unit.
The in-vehicle device according to claim 4. 前記制御部は、前記第1発振器及び前記第2発振器のうち少なくとも一方の温度を検出する温度センサの検出温度に基づいて、前記正常値を決定する、
請求項4に記載の車載装置。 The control unit determines the normal value based on a temperature detected by a temperature sensor that detects the temperature of at least one of the first oscillator and the second oscillator.
The in-vehicle device according to claim 4. 前記制御部は、前記第2発振器の温度を調整する温度調整部を制御し、
前記検出回路は、前記第1発振信号の周波数と、前記温度調整部により前記第2発振器が第1の所定温度に調整されている間に受信される前記受信信号に含まれる前記第2発振信号の周波数と、の差分に応じた前記検出値である第1の検出値を前記制御部へ出力し、
前記制御部は、前記第1の検出値が、前記第1発振信号の周波数と、前記温度調整部により前記第2発振器が前記第1の所定温度に調整されている間に前記第2発振器の発振に基づいて生成される前記第3発振信号の周波数と、の差分に応じた前記正常値である第1の正常値から所定値を超えて相違する場合に、前記スイッチ部を前記第1状態とする、
請求項1から請求項3のいずれか1項に記載の車載装置。 The control unit controls a temperature adjustment unit that adjusts the temperature of the second oscillator,
The detection circuit detects the frequency of the first oscillation signal and the second oscillation signal included in the reception signal received while the second oscillator is being adjusted to a first predetermined temperature by the temperature adjustment section. outputting a first detection value, which is the detection value according to the difference between the frequency and the frequency, to the control unit;
The control unit is configured to determine whether the first detected value is the frequency of the first oscillation signal and the temperature of the second oscillator while the temperature adjustment unit is adjusting the second oscillator to the first predetermined temperature. When the frequency of the third oscillation signal generated based on oscillation differs from the first normal value, which is the normal value according to the difference, by more than a predetermined value, the switch section is set to the first state. and
The vehicle-mounted device according to any one of claims 1 to 3. 車両に搭載されるECUと通信線により接続されている車載装置を制御する制御方法であって、
検出値が、正常値から所定値を超えて相違する場合に、前記通信線から受信される受信信号のうち少なくとも一部の信号をPHY部に入力しない第1状態とする第1ステップと、
前記検出値が、前記正常値から前記所定値以内である場合に、前記受信信号を前記PHY部に入力する第2状態とする第2ステップと、
を備え、
前記PHY部は、前記受信信号をデジタル信号に変換し、
前記検出値は、前記車載装置に含まれる発振回路が第1発振器の発振に基づいて出力する第1発振信号の周波数と、前記受信信号に含まれる第2発振信号の周波数と、の差分に応じた値であり、
前記正常値は、前記第1発振信号の周波数と、前記ECUに含まれる第2発振器の発振に基づいて生成される第3発振信号の周波数と、の差分に応じた値である、
制御方法。 A control method for controlling an in-vehicle device connected to an ECU installed in a vehicle through a communication line, the control method comprising:
A first step of setting a first state in which at least part of the received signals received from the communication line is not input to the PHY unit when the detected value differs from the normal value by more than a predetermined value;
a second step of entering a second state in which the received signal is input to the PHY unit when the detected value is within the predetermined value from the normal value;
Equipped with
The PHY unit converts the received signal into a digital signal,
The detected value is based on the difference between the frequency of a first oscillation signal output by an oscillation circuit included in the in-vehicle device based on oscillation of a first oscillator and the frequency of a second oscillation signal included in the received signal. is the value
The normal value is a value corresponding to a difference between the frequency of the first oscillation signal and the frequency of a third oscillation signal generated based on oscillation of a second oscillator included in the ECU.
Control method. 車両に搭載されるECUと通信線により接続されている車載装置を制御するためのコンピュータプログラムであって、
コンピュータプログラムは、コンピュータに、
検出値が、正常値から所定値を超えて相違する場合に、前記通信線から受信される受信信号のうち少なくとも一部の信号をPHY部に入力しない第1状態とする第1ステップと、
前記検出値が、前記正常値から前記所定値以内である場合に、前記受信信号を前記PHY部に入力する第2状態とする第2ステップと、
を実行させ、
前記PHY部は、前記受信信号をデジタル信号に変換し、
前記検出値は、前記車載装置に含まれる発振回路が第1発振器の発振に基づいて出力する第1発振信号の周波数と、前記受信信号に含まれる第2発振信号の周波数と、の差分に応じた値であり、
前記正常値は、前記第1発振信号の周波数と、前記ECUに含まれる第2発振器の発振に基づいて生成される第3発振信号の周波数と、の差分に応じた値である、
コンピュータプログラム。
A computer program for controlling an in-vehicle device connected to an ECU installed in a vehicle through a communication line,
A computer program is a computer program that
A first step of setting a first state in which at least part of the received signals received from the communication line is not input to the PHY unit when the detected value differs from the normal value by more than a predetermined value;
a second step of entering a second state in which the received signal is input to the PHY unit when the detected value is within the predetermined value from the normal value;
run the
The PHY unit converts the received signal into a digital signal,
The detected value is based on the difference between the frequency of a first oscillation signal output by an oscillation circuit included in the in-vehicle device based on oscillation of a first oscillator and the frequency of a second oscillation signal included in the received signal. is the value
The normal value is a value corresponding to a difference between the frequency of the first oscillation signal and the frequency of a third oscillation signal generated based on oscillation of a second oscillator included in the ECU.
computer program.
JP2022079934A 2022-05-16 2022-05-16 On-vehicle device, control method and computer program Pending JP2023168681A (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2022079934A JP2023168681A (en) 2022-05-16 2022-05-16 On-vehicle device, control method and computer program
PCT/JP2023/016998 WO2023223817A1 (en) 2022-05-16 2023-05-01 In-vehicle device, control method, and computer program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2022079934A JP2023168681A (en) 2022-05-16 2022-05-16 On-vehicle device, control method and computer program

Publications (1)

Publication Number Publication Date
JP2023168681A true JP2023168681A (en) 2023-11-29

Family

ID=88835125

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022079934A Pending JP2023168681A (en) 2022-05-16 2022-05-16 On-vehicle device, control method and computer program

Country Status (2)

Country Link
JP (1) JP2023168681A (en)
WO (1) WO2023223817A1 (en)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7385491B2 (en) * 2005-09-28 2008-06-10 Itt Manufacturing Enterprises, Inc. Tamper monitor circuit
JP7172411B2 (en) * 2018-10-11 2022-11-16 セイコーエプソン株式会社 Real-time clock devices, electronic devices and moving bodies

Also Published As

Publication number Publication date
WO2023223817A1 (en) 2023-11-23

Similar Documents

Publication Publication Date Title
JP7425797B2 (en) Secure firmware verification
JP6521106B2 (en) Judgment apparatus, monitoring system, judgment method and program
US20210194921A1 (en) System and method for network intrusion detection based on physical measurements
US8786449B1 (en) System-on-chip with thermal management core
WO2023223817A1 (en) In-vehicle device, control method, and computer program
WO2023223818A1 (en) Detection device, in-vehicle device, detection method, and computer program
KR20230116011A (en) System-on-Chip with Voltage Glitch Detection Based on Clock Synchronized Monitoring
US20070230011A1 (en) Apparatus and method of monitoring hard disk drive
US20100064149A1 (en) Voltage adjusting system and method for motherboard components of a computer
JP2010136544A (en) Communication error determining apparatus and communication error determining method for vehicle control system
CN116792407A (en) Magnetic suspension bearing controller, power supply control method and device thereof and storage medium
JP3879492B2 (en) Control device failure diagnosis method
JP2020009398A (en) Method for controlling fan in electronic system
CN110797841A (en) Power supply management device, electronic apparatus, and management device control method
KR20170054014A (en) Apparatus for managing power of vehicle and method for controlling the same
US20140181583A1 (en) Server and method for protecting against fan failure therein
JP2024507985A (en) Methods for monitoring battery systems
JP2002014726A (en) Electronic controller
US20230121819A1 (en) Method and system for estimating the time of occurrence of a security event
US7728614B2 (en) Operating characteristic measurement device and methods thereof
JP2010117987A (en) Memory control device and memory control program
JP2005088676A (en) Vehicular communication diagnostic device and diagnostic method
CN113268788B (en) Anti-theft control and management system, method and medium for high-confidentiality server
WO2021166658A1 (en) Vehicle-mounted ecu, program, and information processing method
US20180137276A1 (en) Clock frequency detection method and apparatus